Wenn der Haken gesetzt ist und die CRL nicht überprüft werden kann, jedoch werden muss, so wird das Zertifikat automatisch als ungültig eingestuft. Daher keine Anmeldung.
Bei der CA und im Log steht ja die URL welche zu der CRL führt, ist die erreichbar? du kannst mit certutil die auch überprüfen.
Das CRL hat eine von Server vorgegebene Gülltigkeitsdauer und wird dann von den Rechnern gecached. Ist die z.B. 1 Jahr (was sinnfrei bei der Funktion wäre aber unwissend konnte es jemand so einstellen) wird dann der cache genutzt. Haben andere Rechner noch den cache gefüllt nur der betroffenen Rechner nicht, und der CRL ist nicht mehr erreichbar oder malformed (z.B. die Delta CRL ist korrupt) dann kommt kein neuer rein und die bestehende nach dem Ablauf des Caches auch nicht.
Bedenke dass das CRL immer erreichbar sein muss auch vor der Authentifizierung an dem Radius. Also musst du es auch in PreAuth zulassen.