各位先進大大好:

客戶因為在802.1X環境下無法正常使用公司產品,所以希望我們協助測試。

我們想做到的結果是:

拿一台筆電，在開啟802.1x 時，沒有憑證的使用者 的確是無法使用網路的(可能甚至ping 不出去)，然後安裝憑證，或是有帳密以後，即可在這個環境驗證過使用該網路。

我們目前是在一個封閉環境內測試，目前準備了一台 Server2012R2 (192.168.1.5)
一台D-Link Switch DGS-1210-10P 含802.1X 及Radius功能 (192.168.1.1)

Windows server 2012 R2 那台安裝 NPS(radius server)，
目前也已安裝好CA Server，建立好憑證匯出了。

但我在NPS上建立好SwitchIP當radius用戶端，開始建立NPS 802.1X設定時。
發覺設定驗證方法那並沒有智慧卡或其他憑證選項，只看到PEAP、EAP-MSCHAP V2兩種可選。
所以我只好選擇PEAP。在旁的設定點進去後也確認是剛申請的CA憑證。

Switch方面
也已設定好

看了許多篇教學，似乎這樣就算大致設定完操作。

但我拿另外一台未安裝憑證的設備(192.168.1.2) 插上switch後，
發覺他還是可以Ping的到NAS Server(192.168.1.5)。並未因為驗證失敗而斷線。

請問使用Raduis Server 利用憑證來驗證機制的話。前提一定要加入網域下才行做到嗎?
如果不需要就可執行，想請問各位先進我還有哪邊沒注意到需要新增修改的嗎?
再麻煩各位指點了，謝謝。