Windows 11 После обновления до Windows 11 24H2/25H2 пропадает 802.1X

[akok]

Расширенная диагностика и способы устранения​

После крупных обновлений Windows 11 в корпоративных сетях может перестать работать аутентификация IEEE 802.1X. Чаще всего проблема связана с потерей или некорректным применением групповых политик и параметров службы dot3svc.

Ниже приведён структурированный чек-лист для диагностики и возможного постоянного решения.

1. Проверка групповых политик (GPO)​

Проверка применения GPO​

На проблемном компьютере выполните в powershell:

gpresult /r

Проверьте:

• применяется ли нужная политика 802.1X;
• есть ли Computer Policy;
• нет ли ошибок обработки.

Если политика не применяется:

• убедитесь, что GPO привязана к правильному OU;
• проверьте, включена ли она;
• проверьте фильтрацию безопасности (Security Filtering);
• проверьте WMI-фильтры.

Принудительное обновление GPO​

gpupdate /force

После выполнения — перезагрузка.

Если после этого 802.1X начинает работать — проблема почти наверняка связана с удалением или неприменением политик при обновлении.

2. Проверка службы Wired AutoConfig (dot3svc)​

Убедитесь, что:

• служба запущена;
• тип запуска — "Автоматически";
• после обновления не очищена папка политик dot3svc.

Проверьте журнал событий — типичная ошибка:

"The network stopped answering authentication requests"

3. Проверка профиля 802.1X​

Иногда профиль LAN не переносится корректно.

Экспорт профиля с рабочего ПК​

На исправной машине:

netsh lan export profile folder=C:\Temp

Импорт профиля на проблемный ПК​

netsh lan add profile filename="C:\Temp\yourprofile.xml" interface="Ethernet"

После импорта — перезагрузка.

4. Проверка сетевого адаптера​

Выполните консоли:

netsh winsock reset
netsh int ip reset

Затем:

• отключите и снова включите адаптер;
• проверьте вкладку 802.1X в свойствах адаптера;
• убедитесь, что выбран правильный метод аутентификации (PEAP / EAP-TLS и т.д.).

5. Проверка метода аутентификации​

Возможный конфликт MSCHAP и Credential Guard​

Если используется PEAP/MSCHAPv2:

• Credential Guard может блокировать корректную работу;
• рассмотрите переход на EAP-TLS;
• либо протестируйте временное отключение Credential Guard.

6. Проверка сертификатов (при EAP-TLS)​

Проверьте:

• наличие machine certificate;
• корректную цепочку доверия (Root CA и Intermediate CA);
• назначение сертификата (Client Authentication);
• соответствие шаблона сертификата Windows 11.

Если RADIUS/NPS не видит попыток подключения — проблема чаще всего на стороне клиента (политики или профиль).

7. Проверка реестра​

Сравните с рабочей машиной:

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Network\Connections

Иногда ключи остаются, а связанные файлы политик отсутствуют.

8. Дополнительные меры​

• Проверьте, не мешает ли стороннее ПО (антивирус, NAC-клиенты).
• Если используются Group Policy Preferences — рассмотрите перевод настроек в стандартные GPO.
• Подождите некоторое время: иногда политики применяются с задержкой после feature-обновления.
• Создайте тестовую Windows 11 VM и примените те же GPO для изоляции проблемы.
• Проверьте корректность загрузки профиля пользователя (userinit.log).

9. Временный обходной сценарий​

Если проблема возникает регулярно после обновлений:

1. Подключиться к Wi-Fi или сети без 802.1X.
2. Выполнить gpupdate /force.
3. Перезагрузить ПК.

Можно автоматизировать:

• через SetupCompleteTemplate.cmd;

В копилку

802.1X authentication issues troubleshooting - Windows Client

Troubleshoot authentication flow by learning how 802.1X Authentication works for wired and wireless clients.

learn.microsoft.com