Warnung für Administratoren und Nutzer von Windows 11 24H2 und 25H2. Es deutet sich an, dass ein lange bekannter Bug, der bei einem (InPlace-)Upgrade von Windows zuschlägt, beim Wechsel von Windows 23H2 auf Windows 11 25H2 zum Verlust des Internetzugangs bei 802.1x-Authentifizierung führt. Grund ist, dass beim Upgrade die 802.1x-Policy-Dateien im Ordner dot3svc gelöscht werden. Dann lässt sich keine Internetverbindung mehr aufbauen. Das Problem ist länger bekannt, lässt sich mit einem Workaround beheben, poppt nun aber wieder verstärkt auf.
Der Windows-Ordner dot3svc
In Windows gibt es bei WLAN-Verbindungen die Möglichkeit, eine Authentifizierung per 802.1x (WPA-Enterprise oder WPA2/802.1X) zu erzwingen. Dann sollte der Ordner:
C:\Windows\dot3svc\Policies
mit entsprechenden Richtlinien (Net Access Control Policy) auf dem System vorhanden sein. Wird der Inhalt des Ordners gelöscht, lassen sich keine entsprechenden Internetverbindungen mehr aufbauen, da die Richtlinien dazu fehlen.
Berichte über gelöschte dot3svc-Richtlinien
Es deutet sich an, dass ein (InPlace-)Upgrade eines Windows-Systems bei Verwendung der Authentifizierung per 802.1x problematisch ist, weil dabei die Richtlinien im Ordner dot3svc gelöscht werden.
Fall #1: Upgrade von Windows 10 auf Windows 11
Mir ist bei der Suche der reddit.com-Thread Windows 11 Upgrade from Windows 10 is deleting the folder C:\Windows\dot3svc\Policies angezeigt worden. Nach einem Versuch eines Upgrades von Windows 10 auf Windows 11 mittels Intune und WUfB lief der Administrator in Probleme. Beim Upgrade wurde der Ordner :
C:\Windows\dot3svc\Policies
gelöscht. Dieser enthält aber die NAC-Richtlinien (Net Access Control Policy) für den Zugriff auf das Netzwerk enthält. Das bedeutete, dass der Betroffene nach dem Upgrade und der Anmeldung an Windows 11 keinen Zugriff mehr auf das Unternehmensnetzwerk hatte. Er konnte sich in diesem Fall zunächst mit einem Gastnetzwerk verbinden, und den Befehl gpupdate /force ausführen. Darauf hin wurde der Ordner über GPO wieder angezeigt.
Fall #2: Update brickt Windows 11-Internetzugang
Der zweite Fall ist bereits vor einem Jahr auf reddit.com im Thread Win11 updates break 802.1x until gpupdate happens beschrieben worden. Der Thread-Starter schreibt, dass er in seinem Netzwerk eine zertifikatsbasierte 802.1x-Netzwerk-Authentifizierung verwendet.
Dort hat der Betroffene festgestellt, dass Laptops, die Windows 11-Updates erhalten, sich erst dann erfolgreich bei 802.1x-Netzwerken authentifizieren und verbinden können, wenn zuerst entweder eine Verbindung zu einem drahtlosen oder einem nicht durch .1x geschützten Netzwerk hergestellt, gpupdate ausgeführt und die Maschinen neu gestartet werden. Danach funktioniert alles bis zum nächsten Update einwandfrei.
Ein Test, bei dem Windows 11 24H2 von Windows 11 23H2 aktualisiert wurde, zeigte dem Betroffenen, dass der dot3svcßpolicies leer war. Der Registrierungsschlüssel habe zwar Verweise auf die Richtlinie enthalten. Aber die zugehörigen Dateien waren nicht mehr vorhanden.
Neben den oben verlinkten reddit.com-Threads gibt es diesen reddit.com-Thread, sowie die Microsoft-Forenbeiträge 802.1 X settings is lost after inplace upgrade (von August 2024) und 802.1x Authentication Failure After Upgrade To Windows 11 (aus Mai 2025) zum Thema.
Neue Berichte Anfang März 2026
Anfang März 2026 wurde der reddit.com-Post Win11 upgrades wiping dot3svc 802.1x wired policy eröffnet, der aktuell hier und hier mediale Beachtung fand. Der Thread-Starter fragt, ob es Neuigkeiten dazu gäbe, ob Microsoft das oben beschriebene Problem mit den gelöschten dot3svc-Policies bei Windows 11-Upgrades bestätigt und behoben habe.
Dieses Problem trat beim Thread-Starter beim Upgrade von Windows 10 auf Windows 11 auf. Der Administrator hat nun aber auch das gleiche Problem bei der Aktualisierung von Windows 23H2 auf Windows 11 25H2. Bei diesen Upgrades wird der Inhalt des Ordners dot3svc gelöscht und der Computer ist vom Netzwerk getrennt, bis ein gpupdate in einem Netzwerk ausgeführt werden kann.
Dem reddit.com-Thread nach scheint das Problem mehr Administratoren in Firmenumgebungen zu treffen. Ein Workaround besteht darin, vor dem Upgrade den Inhalt des Ordners:
C:\Windows\dot3svc\Policies
zu sichern, und nach dem Upgrade zurück zu schreiben. Dann spart man sich die Ehrenrunde über eine Verbindung mit Gast-Netzwerk und gpupdate. Cyber Security News hat es in diesem Artikel beleuchtet und weitere Workarounds zusammen getragen. Ist das Problem bei Administratoren in Unternehmen (im Privatumfeld dürfte kaum jemand treffen) breit bekannt?
MVP: 2013 – 2016
Sind die Zertifikate bzw. die Anmeldung für Portsec User- oder Computer-basiert? Wenn Benutzerbasiert, dann steht das in Konflikt zu einem in 24/25H2 per default aktivierten Device/Credential-Guard. Ich kenne einen "Laden" wo man daran verzweifelt ist und dazu übergegangen ist, selbst im Firmengelände die Büro-Netzwerke alle als "Public" zu machen und darin eine Dauer-Verbindung per VPN ins Intrantet zu erzwingen. Nebenbei hätte das den Vorteil, dass sich ein Besucher an das Netzwerk stöpseln kann ohne dass man komplizierte Portsec braucht, um den vom internen Netz auszusperren. Für die Mitarbeiter spielt dann keine Rolle mehr, ob sie im Homeoffice oder im VPN sind, in welchem Standort, in welchem Stockwerk usw. sie sind, technisch sind sie immer im gleichen Netz. Daraus ergaben sich dann noch ein paar weitere Einsparmöglichkeiten und Vereinfachungen. Ich spiele momentan mit dem gleichen Gedanken, VPN-Lizenzen haben wir ohnehin…
Bei uns im Netzwerk haben wir das Problem auch sporadisch beim Upgrade von Windows 11 23H2 auf 24H2. Nachdem die Fälle Anfang Februar vermehr aufgetreten sind haben wir bei uns auch den oben bereits genannten Workaround (sicher des Policy-Ordners und wiederherstellen nach dem Upgrade, wenn dieser nicht vorhanden bzw. leer ist) implementiert.