Attenzione agli aggiornamenti Windows 11: un problema comune sta lasciando i PC senza internet.
Se stai pianificando l’aggiornamento da Windows 11 23H2 a 25H2, preparati a un possibile intoppo. Molti utenti aziendali segnalano che i computer perdono completamente la connessione cablata dopo l’installazione, restando isolati dalla rete. La buona notizia? C’è una soluzione rapida: collega il dispositivo a una porta di rete non protetta, esegui il comando gpupdate /force e riconnetti. Questo ripristina tutto in pochi minuti.
Questo inconveniente colpisce soprattutto ambienti aziendali con autenticazione 802.1X, ma può capitare anche altrove. Non è un problema isolato: si ripete da versioni precedenti e non ha ancora una patch ufficiale. Continua a leggere per dettagli e workaround efficaci.
Come funziona l’aggiornamento e perché fallisce
L’aggiornamento in-place di Windows 11 è progettato per mantenere file, app e impostazioni, ma nasconde una trappola. Durante il processo, il sistema elimina silenziosamente i file di configurazione nella cartella C:\Windows\dot3svc\Policies. Questa directory contiene i profili di autenticazione per le reti cablate protette da 802.1X, uno standard che impedisce accessi non autorizzati tramite switch di rete.
Senza questi file, al riavvio il PC non si autentica più sulla rete aziendale. Risultato: nessuna connessione internet, nessuna comunicazione con i server. È un circolo vizioso, perché senza rete il computer non riceve le nuove policy dal domain controller per ricostruire i profili.
Amministratori di sistema su forum specializzati confermano che il bug si manifesta in passaggi come 23H2 a 24H2 e ora 23H2 a 25H2. Non è limitato a un solo scenario: in casi estremi, cancella anche i certificati del computer, complicando ulteriormente l’autenticazione con protocolli come EAP-TLS.
Impatto sulle aziende e perché è critico
Immagina centinaia di workstation che si ‘spegnono’ contemporaneamente dopo un update di massa. Nei grandi ambienti enterprise, questo significa ore di lavoro manuale per riconnettere ogni device. Gli IT devono spostare fisicamente i PC su porte non sicure o reti di remediation, applicare le policy e poi riportarli online.
Il problema non è nuovo: risale a migrazioni da Windows 10 a 11, passando per vari cicli annuali. Microsoft non lo ha ancora elencato come issue noto sul dashboard ufficiale, lasciando gli admin senza supporto diretto. Con il supporto a 23H2 terminato, molti sono costretti a passare a 25H2, amplificando il rischio.
Per utenti privati, l’impatto è minore se non usi reti 802.1X, ma in ufficio o scuola può bloccare tutto. Controlla la tua versione con winver e valuta un backup prima di procedere.
Soluzioni immediate per evitare il disastro
Non aspettare che accada: ecco i passaggi da seguire prima e dopo l’aggiornamento.
- Backup preventivo: Copia l’intera cartella C:\Windows\dot3svc\Policies su un drive esterno. Al riavvio, restaurarla manualmente.
- Rete di emergenza: Collega a una porta aperta (non 802.1X), apri Prompt dei comandi come admin e digita
gpupdate /force /target:computer. Attendi e riconnetti. - Script personalizzato: Modifica il file SetupCompleteTemplate.cmd per reinserire i comandi di restore automaticamente.
- Per deploy enterprise: In tool come MECM, aggiungi un task post-upgrade per spingere le policy 802.1X prima del rejoin alla rete.
Questi workaround sono collaudati da sysadmin e prevengono outage di massa. Testali in un ambiente pilota prima del rollout.
Evoluzione del problema con 25H2
La versione 25H2 porta miglioramenti, ma eredita questo bug. Ricerche recenti mostrano altri issues, come problemi USB nel Recovery Environment o blocchi su hardware non supportato. Microsoft ha risolto alcuni (es. smart card), ma la connettività cablata resta un punto debole. Se l’update fallisce, prova ISO con setup.exe /product server o script bypass per PC non compatibili.
Assicurati spazio disco libero, connessione stabile e usa Pulizia disco per liberare GB extra. Evita connessioni a consumo.
Approfondimento tecnico: Dettagli per esperti
Meccanismo del bug
Il servizio Wired AutoConfig (dot3svc) dipende dai file XML in C:\Windows\dot3svc\Policies{GUID}.xml, generati da Group Policy. L’upgrade li cancella perché considera la cartella ‘usa e getta’. Al boot, dot3svc fallisce l’autenticazione IEEE 802.1X (port-based Network Access Control), comune in VLAN aziendali.
In scenari EAP-TLS, il certificato machine (nel store Computer\Personal) può sparire, richiedendo re-enrollment via PKI.
Diagnostica avanzata
- Verifica log: Event Viewer > Windows Logs > System, filtra per dot3svc (Event ID 10000+).
- Test:
netsh lan show profilespre/post upgrade. - PowerShell check:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object {$_.Description -like '*Wired*'}.
Workaround script (PowerShell)
# Backup pre-upgrade
$source = 'C:\Windows\dot3svc\Policies'
$backup = 'C:\Backup\dot3svc'
Copy-Item -Path $source -Destination $backup -Recurse
# Post-upgrade restore + GPO
if (Test-Path $backup) {
Remove-Item $source -Recurse -Force
Copy-Item $backup $source -Recurse
}
gpupdate /force /target:computer
Restart-Computer
Esegui come admin.
Mitigazioni enterprise
- MECM/SCCM: Task sequence con ‘Run Command Line’ post-upgrade:
gpupdate /force+ copy policies. - Intune: Proactive remediations per monitorare dot3svc.
- Registry fix: Esporta HKLM\SOFTWARE\Policies\Microsoft\Windows\WiredAutoconfig pre-upgrade.
Per deploy su larga scala, audit workflows e integra backup automatici. Con 25H2 ora disponibile per tutti, monitora release health Microsoft per fix futuri.
Questi dettagli tecnici aiutano a comprendere e prevenire ricorrenze. L’aggiornamento resta consigliato per sicurezza, ma con precauzioni.
(Conta parole: circa 1050)
Fonte: https://gbhackers.com/windows-11-23h2-to-25h2-reportedly-disrupts-internet-connectivity/
