RRAS se cae en Windows Server 2025 (svchost.exe_RemoteAccess / ipnathlp.dll 0xc0000005): diagnóstico, parche KB5046617 y mitigaciones

¿RRAS se cae en Windows Server Datacenter 2025 al habilitar una VPN? Si ves errores de svchost.exe_RemoteAccess y el módulo defectuoso ipnathlp.dll con código 0xc0000005, aquí tienes el diagnóstico, la solución definitiva (parche) y mitigaciones seguras para mantener tu servicio operativo.

Índice

Resumen de la pregunta

Tras instalar Windows Server Datacenter 2025 en un VPS y habilitar RRAS para VPN, los servicios Routing and Remote Access (RemoteAccess) y Remote Access Connection Manager (RasMan) se detienen repetidamente poco después de iniciarse. El Visor de eventos reporta fallos de svchost.exe_RemoteAccess con el módulo defectuoso ipnathlp.dll (código de excepción 0xc0000005). La misma topología funciona correctamente en Windows Server Datacenter 2022. Se pregunta si es un problema conocido, si existe parche y qué pasos seguir.

Diagnóstico y causa probable

Problema conocido en Windows Server Datacenter 2025: una regresión en el componente ipnathlp.dll (NAT de RRAS) puede provocar caídas de RRAS/RasMan al activar NAT o en escenarios que lo cargan indirectamente (por ejemplo, VPN con interfaz pública marcada para NAT).
Firma típica: error de aplicación en svchost.exe_RemoteAccess, módulo defectuoso ipnathlp.dll, excepción 0xc0000005 (violación de acceso), con detención del servicio RemoteAccess y dependencia RasMan.
Alcance: afecta a instalaciones “limpias” en VPS/virtualización y servidores bare-metal; no se reproduce en la misma configuración sobre Windows Server 2022.

Solución definitiva (recomendada)

Actualiza el servidor a la compilación más reciente que incluya el hotfix. En la Q&A se menciona la actualización KB5046617 (12‑nov‑2024) como corrección; instala esa y todas las actualizaciones acumulativas posteriores. Reinicia y valida que los servicios RRAS y RasMan permanecen estables.

Cómo aplicar la actualización

Windows Update: en Settings → Windows Update, busca e instala todas las actualizaciones disponibles. Prioriza las acumulativas de noviembre de 2024 o posteriores.
Instalación offline: si no hay salida a internet, descarga el paquete correspondiente (por arquitectura y edición) desde el Catálogo en una máquina con internet, súbelo al servidor y ejecútalo con un usuario con privilegios.
Reinicio: reinicia el servidor cuando te lo solicite o de forma planificada fuera de horario productivo.

Verificación tras la actualización

Confirma que el hotfix esté instalado y que la versión de ipnathlp.dll haya cambiado respecto a la original:

# PowerShell (ejecutar como administrador)
Get-HotFix -Id KB5046617
(Get-Item "C:\Windows\System32\ipnathlp.dll").VersionInfo | Format-List FileVersion, ProductVersion

Reiniciar servicios para validar la estabilidad

Stop-Service RemoteAccess, RasMan -Force
Start-Service RemoteAccess

Comprobar estado

Get-Service RemoteAccess, RasMan | Select-Object Name, Status

Mitigaciones temporales (si no puedes actualizar aún)

Deshabilitar NAT en RRAS:
- Reconfigura RRAS con Custom Configuration → VPN access solamente (sin NAT).
- O bien, en IPv4 → NAT, quita la interfaz marcada como pública/NAT o desactiva Enable NAT on this interface.
Mover la traducción a otro equipo: mantén el enrutamiento en RRAS y realiza NAT en el firewall/gateway de la nube (por ejemplo, NAT de la plataforma de tu VPS o un appliance virtual).
Usar Windows Server 2022 en producción temporalmente con la misma topología hasta poder aplicar el parche en 2025.

Pasos recomendados de extremo a extremo

Respaldar configuración: exporta la configuración actual de RRAS y la lista de adaptadores/redes.
Aplicar actualizaciones: instala KB5046617 y acumulativas posteriores.
Reiniciar y validar:
- Reinicia el servidor.
- Inicia RRAS y verifica que no se detiene.
- Establece una conexión VPN de prueba y transfiere tráfico.
Si todavía falla: elimina o deshabilita la configuración de NAT; reintenta. Si con NAT deshabilitado deja de fallar, has aislado el detonante en ipnathlp.dll.
Escalada/soporte: recopila volcados y eventos para soporte técnico.

Síntomas y evidencias (qué anotar)

Fuente	Indicador	Ejemplo
Visor de eventos → Application	Error de aplicación	`Faulting application name: svchost.exe_RemoteAccess; Faulting module: ipnathlp.dll; Exception code: 0xc0000005`
Visor de eventos → System	Servicio se detuvo	RemoteAccess service terminated unexpectedly; RasMan también se detiene por dependencia
MMC RRAS	Fallo al iniciar	RRAS inicia, pero se detiene al cargar NAT o al marcar la interfaz pública
Comparativa de versión	2022 vs 2025	Misma topología funciona en Windows Server 2022; falla en 2025 sin parche

Procedimiento de aislamiento del detonante

Iniciar RRAS “solo VPN”:
- Detén RRAS.
- En Routing and Remote Access, Disable Routing and Remote Access.
- Configure and Enable → Custom configuration → VPN access (sin NAT).
- Inicia RRAS y prueba. Si ya no se cae, el problema se asocia a NAT.
Interfaz pública: si necesitas salida a internet, haz NAT en el firewall o gateway de la nube y no marques NAT en RRAS.
Drivers de terceros: verifica que no existan filtros NDIS, antivirus, o clientes VPN de terceros en este servidor “limpio”.

Recopilación de evidencias para soporte

Activa volcados de svchost.exe y revisa trazas de RemoteAccess:

REM CMD (administrador)
md C:\Dumps
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpType /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpFolder /t REGEXPANDSZ /d C:\Dumps /f

REM Reinicia servicios para provocar el volcado controlado
sc stop RemoteAccess
sc start RemoteAccess </code></pre>

<p>Además, revisa:</p>
<ul>
  <li>Registros <em>Application</em>, <em>System</em> y el canal <em>RemoteAccess</em> en el Visor de eventos.</li>
  <li>Estado de dependencias: <code>RasMan</code>, <code>EventSystem</code>, <code>RemoteRegistry</code> (según configuración).</li>
  <li>Componentes de red cargados:
    <pre><code># PowerShell
Get-NetAdapterBinding -AllBindings | Where-Object {$_.Enabled -eq $true} |
  Sort-Object -Property Name |
  Format-Table Name, DisplayName, ComponentID

Checklist de resolución rápida

❏ ¿Instalaste KB5046617 y todas las acumulativas posteriores?
❏ ¿Reiniciaste el servidor tras la instalación?
❏ ¿Verificaste la versión de ipnathlp.dll?
❏ ¿Arranca RRAS sin NAT? (si sí, el detonante es NAT).
❏ ¿Temporalmente mueves NAT al firewall/gateway de la plataforma?
❏ ¿No hay drivers/filtros de terceros en la pila de red?
❏ ¿Recopilaste volcados y eventos si persiste?

Preguntas frecuentes

¿Es un problema conocido en Windows Server 2025? Sí. Se han reportado caídas de RRAS ligadas a ipnathlp.dll al activar NAT.

¿Es un bug de ipnathlp.dll/Remote Access? Los síntomas y el código 0xc0000005 apuntan a una regresión en el componente NAT de RRAS.

¿Existe parche o configuración adicional? Sí. Instala KB5046617 (12‑nov‑2024) y las acumulativas posteriores. No se requiere configuración adicional más allá de actualizar y reiniciar.

¿Qué hago si no puedo actualizar ahora? Desactiva NAT en RRAS y realiza la traducción en otro dispositivo o gateway. Alternativamente, usa Windows Server 2022 para producción mientras preparas la ventana de mantenimiento.

Procedimientos prácticos

Reiniciar y recuperar RRAS vía PowerShell

# PowerShell (administrador)
Forzar detención para limpiar estados inconsistentes
Stop-Service RemoteAccess, RasMan -Force

Arranque limpio

Start-Service RemoteAccess

Si necesitas que RRAS se recupere automáticamente ante fallos

sc.exe failure RemoteAccess reset= 86400 actions= restart/600/restart/600/restart/600

Volver a la configuración “solo VPN” (sin NAT)

Abre Routing and Remote Access (rrasmgmt.msc).
Click derecho en el servidor → Disable Routing and Remote Access.
De nuevo click derecho → Configure and Enable.
Selecciona Custom configuration → marca VPN access solamente (no marques NAT ni Routing).
Finaliza el asistente e inicia RRAS.

Validación funcional tras el parche

Conecta un cliente VPN (L2TP/IPsec, SSTP o IKEv2 según tu despliegue) y transfiere tráfico real.
Comprueba que el servicio no se detiene y que el registro deja de generar errores de ipnathlp.dll.
Si reactivas NAT, monitoriza durante al menos 15–30 minutos bajo carga.

Tabla de decisiones (según restricción/urgencia)

Situación	Acción recomendada	Riesgo/interrupción
Puedes programar reinicio hoy	Instalar KB5046617 + acumulativas → reinicio → validar	Baja (mantenimiento planificado)
Sin ventana de mantenimiento	Desactivar NAT en RRAS, mantener VPN; mover NAT a gateway externo	Muy bajo (cambio de ruta de salida)
Entorno productivo crítico	Rollback a Windows Server 2022 temporalmente	Medio (cambio OS/controlado)

Apéndice A: Script “rápido” de salud RRAS

Este script recopila estado de parches, versión del módulo NAT, estado de servicios y errores recientes.

# Guardar como Check-RRASHealth.ps1 y ejecutar como administrador

Write-Host "=== Hotfixes esperados ==="
"KB5046617" | ForEach-Object {
try {
\$hf = Get-HotFix -Id $\_ -ErrorAction Stop
Write-Host ("{0} instalado: {1}" -f \$*, \$hf.InstalledOn)
} catch {
Write-Warning ("{0} NO encontrado" -f \$*)
}
}

Write-Host "\`n=== Version de ipnathlp.dll ==="
\$ipnat = Get-Item "C:\Windows\System32\ipnathlp.dll" -ErrorAction SilentlyContinue
if (\$ipnat) {
\$ver = \$ipnat.VersionInfo
"{0}  ProductVersion={1}  FileVersion={2}" -f \$ipnat.FullName, \$ver.ProductVersion, \$ver.FileVersion
} else {
Write-Warning "ipnathlp.dll no encontrado (ruta inesperada)"
}

Write-Host "\`n=== Servicios RRAS/RasMan ==="
Get-Service RemoteAccess, RasMan | Select-Object Name, Status, StartType | Format-Table -AutoSize

Write-Host "\`n=== Eventos recientes (Application/System) ==="
\$since = (Get-Date).AddHours(-4)
Get-WinEvent -FilterHashtable @{LogName='Application'; StartTime=\$since} -MaxEvents 200 |
Where-Object { $\.Message -match 'svchost.exe\RemoteAccess|ipnathlp.dll|RemoteAccess' } |
Select-Object TimeCreated, Id, ProviderName, LevelDisplayName, Message

Get-WinEvent -FilterHashtable @{LogName='System'; StartTime=\$since} -MaxEvents 200 |
Where-Object { $\_.Message -match 'RemoteAccess|RasMan' } |
Select-Object TimeCreated, Id, ProviderName, LevelDisplayName, Message

Apéndice B: Matriz mínima de pruebas de regresión

Escenario	NAT	Resultado esperado	Observaciones
VPN IKEv2 en WS2025 (parcheado)	ON	RRAS estable >= 30 min bajo tráfico	Sin errores `ipnathlp.dll`
VPN IKEv2 en WS2025 (sin parche)	ON	Caída de RRAS	Error `0xc0000005` en `svchost.exe_RemoteAccess`
VPN IKEv2 en WS2025 (sin parche)	OFF	RRAS estable	Confirma detonante en NAT
VPN IKEv2 en WS2022	ON	RRAS estable	Topología base de referencia

Apéndice C: Buenas prácticas para RRAS en VPS/Nube

Interfaces claras: separa interfaz pública (WAN) de la privada (LAN/VPN); evita bridges innecesarios.
Gateway externo: si la plataforma ofrece NAT/salida administrada, úsala en vez del NAT de RRAS hasta aplicar el parche.
MTU y offloading: con VPN y NAT, ajusta MTU/fragmentación y evalúa desactivar offloads problemáticos (LRO/TSO) si observas reenvíos truncados.
Filtros/antivirus: evita instalar AV o filtros NDIS que insertan hooks en el datapath de RRAS.
Auditoría: registra cambios de RRAS y red con control de configuración (scripts/plantillas) para revertir rápidamente.

Errores comunes (y cómo evitarlos)

Confiar en reinicios repetidos sin parche: el servicio volverá a fallar cuando NAT se cargue.
Reciclar perfiles VPN del cliente: no soluciona un crash del servicio en el servidor.
Activar NAT “por si acaso” cuando el gateway externo ya hace NAT: genera doble NAT innecesario y activa el componente defectuoso.

Respuestas directas a las preguntas

¿Problema conocido en Server 2025? Sí; se han reportado caídas de RRAS ligadas a ipnathlp.dll.
¿Bug en ipnathlp.dll/Remote Access? Los síntomas y el código 0xc0000005 lo respaldan.
¿Parches o configuración adicional? Sí: instala KB5046617 (12‑nov‑2024) y acumulativas posteriores. No se requiere configuración extra tras actualizar.
¿Qué hacer para resolver/depurar? Actualizar primero; mientras tanto, desactivar NAT en RRAS o mover el NAT a otro dispositivo; validar con pruebas sin NAT; si persiste, capturar volcados y revisar eventos.

Conclusiones

Las caídas de RRAS en Windows Server Datacenter 2025 con ipnathlp.dll como módulo defectuoso están asociadas a una regresión del NAT de RRAS. La solución definitiva es aplicar la actualización que corrige el componente (KB5046617 y acumulativas posteriores). Si no puedes actualizar de inmediato, desactiva NAT en RRAS y haz la traducción en un gateway externo, o mantén Windows Server 2022 en producción temporalmente. Tras actualizar, verifica la versión del archivo, reinicia servicios y realiza pruebas de carga controladas para confirmar estabilidad.

Comandos de referencia rápida

# Ver hotfix
Get-HotFix -Id KB5046617

Ver versión de ipnathlp.dll

(Get-Item "C:\Windows\System32\ipnathlp.dll").VersionInfo

Reiniciar RRAS y RasMan

Stop-Service RemoteAccess, RasMan -Force
Start-Service RemoteAccess

Habilitar volcados de svchost.exe

reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpType /t REG\_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\svchost.exe" /v DumpFolder /t REG\EXPAND\SZ /d C:\Dumps /f

Si sigues estos pasos, deberías recuperar la estabilidad de tu servidor VPN con RRAS en Windows Server 2025 y evitar caídas relacionadas con ipnathlp.dll.