При включении компьютера, IAS проверяет сертификат компьютера и дает команду свитчу разрешить подключение. Если на устройстве нет нужного сертификата то свитч переключит порт в несуществующий VLAN.
Несмотря на простоту настройки, в моем случае заставить работать wired 802.1x без проблем не удалось.
Чтобы включить(выключить) отладку в зависимости от версии ОС необходимо выполнить:
netsh ras diagnostics set rastracing * enabled
netsh ras set tracing * enabled
netsh ras diagnostics set rastracing * disable
netsh ras set tracing * disable
Для включения трассировки NAP:
netsh nap client set tracing state = enable
netsh nap client set tracing state = disable
Также, при необходимости, потребуется установить сетевой монитор.
В моем случае связь не устанавливалась из за того, что сервер не мог аутентифицировать клиента по EAP-TLS.
Запросы EAPol от клиента уходили, но от сервера приходил отказ.
В конечном итоге выяснилось, что Сервер сертификатов установленный в сети, был установлен некорректно.
Т.е. при его установке не был удален (или был некорректно удален) предыдущий сервер CA.
Также небходимо не забывать, что требуется одинаковая настройка аутентификации на клиенте и на сервере IAS.
Ссылки которые помогли решить задачу:
1. Хорошая статья автора Johan Loos по настройке IEEE 802.1x. С cайта первоисточника accessdenied.be была удалена implementing-ieee-8021x-wired-networks-34520.pdf
2. Удаление сервера CA из AD
http://winitpro.ru/index.php/2014/11/28/udalenie-centra-sertifikacii-iz-active-directory
3. Неоходимые обновления ОС для корректной работы EAP-TLS
https://robert.penz.name/555/list-of-ieee-802-1x-hotfixes-for-windows-7
ps. защиту можно обойти с помощью неуправляемого свитча. Решение – добавить на порт настройку port security.