Защита ЛВС по стандарту IEEE 802.1x от несанкционированных подключений

При включении компьютера, IAS проверяет сертификат компьютера и дает команду свитчу разрешить подключение. Если на устройстве нет нужного сертификата то свитч переключит порт в несуществующий VLAN.
Несмотря на простоту настройки, в моем случае заставить работать wired 802.1x без проблем не удалось.
Чтобы включить(выключить) отладку в зависимости от версии ОС необходимо выполнить:
netsh ras diagnostics set rastracing * enabled
netsh ras set tracing * enabled
netsh ras diagnostics set rastracing * disable
netsh ras set tracing * disable

Для включения трассировки NAP:
netsh nap client set tracing state = enable
netsh nap client set tracing state = disable

Также, при необходимости, потребуется установить сетевой монитор.

В моем случае связь не устанавливалась из за того, что сервер не мог аутентифицировать клиента по EAP-TLS.
Запросы EAPol от клиента уходили, но от сервера приходил отказ.
В конечном итоге выяснилось, что Сервер сертификатов установленный в сети, был установлен некорректно.

Т.е. при его установке не был удален (или был некорректно удален) предыдущий сервер CA.
Также небходимо не забывать, что требуется одинаковая настройка аутентификации на клиенте и на сервере IAS.

Ссылки которые помогли решить задачу:
1. Хорошая статья по настройке IEEE 802.1x

http://www.accessdenied.be/blog/documentation/Configuring%20Wired%208021x%20Authentication%20on%20Windows%20Server%202012.pdf
2. Удаление сервера CA из AD
http://winitpro.ru/index.php/2014/11/28/udalenie-centra-sertifikacii-iz-active-directory
3. Неоходимые обновления ОС для корректной работы EAP-TLS
https://robert.penz.name/555/list-of-ieee-802-1x-hotfixes-for-windows-7