Windows 11 23H2から25H2へのアップグレードが、企業のワークステーションのインターネット接続を妨げる可能性があると報告されています。この問題は、802.1X有線認証設定がクリティカルな情報を削除するバグによって引き起こされる可能性があります。

問題の概要

システム管理者は、Redditのr/sysadminコミュニティでこの問題について警告しています。このバグは、Windows 11の年次バージョンアップデートで再発しており、23H2から24H2、そして最近の23H2から25H2のアップグレードパスでも見つかっています。

アップグレードが有線接続をどのように破壊するか

標準のWindows 11インプレースアップグレード中に、C:\Windows\dot3svc\Policiesフォルダの内容が静かに削除されます。この特定のディレクトリは、グループポリシーを通じて適用される802.1X有線ネットワーク（LAN）認証プロファイルを格納しています。

システムのWired AutoConfig（dot3svc）サービスは、ネットワークスイッチがIEEE 802.1Xポートベースのアクセス制御を強制する場合に、これらのポリシーファイルに厳密に依存します。

このフォルダが削除されると、新しくアップグレードされたマシンは、新しいオペレーティングシステムにブートする瞬間から有線ネットワーク接続を永久に失います。これにより、ワークステーションが即座に企業ネットワークから隔離されます。

この問題の影響

この問題は、ネットワーク管理者にとって既知のものであり、Microsoft Q&Aプラットフォームで古いWindows 10からWindows 11への移行に関する文書化されたケースが存在します。システム管理者は、このデータ損失の振る舞いが年次Windows 11アップグレードで盲目に繰り返され、少なくとも3つの主要なリリーストランジションを通じて継続していると報告しています。

対策とワークアラウンド

Microsoftは、公式のWindows 11リリースヘルスダッシュボードでこの回帰を公的に認識していません。専用のKnowledge Base（KB）パッチが存在しない場合、システム管理者は、Windows 11 24H2または25H2を展開する際に大規模なネットワークロックアウトを防ぐための数多くの信頼性の高い一時的な対策を文書化しています。

• バックアップと復元：アップグレード前にC:\Windows\dot3svc\Policiesフォルダを外部ストレージに手動でコピーし、新しいOSがブートした後すぐに復元します。
• アップグレード後更新：デバイスを802.1X非強制のポートに接続し、gpupdate /force /target:computerを実行してポリシーの再適用を安全に強制します。
• スクリプト注入：LANプロファイルの復元コマンドを標準のWindows SetupCompleteTemplate.cmdデプロイメントスクリプトに直接注入します。
• MECMタスクシーケンス：管理されたエンタープライズデプロイメントでは、デバイスがセキュアなネットワークに再接続を試みる前に、802.1X設定を強制的に再プッシュするポストアップグレードステップを追加します。

大規模な組織の管理者は、アップグレードワークフローをすぐに監査し、新しいWindows 11バージョンを大規模に展開する前にプロアクティブなポリシーバックアップ手順を実装することを強く推奨します。

---

元記事: https://gbhackers.com/windows-11-23h2-to-25h2-reportedly-disrupts-internet-connectivity/