Ja, sollte. 
Da die UCS CA nur eine Root CA und keine Intermediate (Issuing) CA hat, muss nur das Serverzertifikat selber eingebunden sein. Natürlich muss der fragliche Rechner zuerst über LAN die aktualisierte GPO bezogen haben (oder du importierst das Zertifikat zum testen kurz manuell in den Cert-Store)
Der genannte Fehler kann vieles sein, das ist genau das Problem von Windows: Du kriegst weder im User Interface, noch in den Logs etwas schlaues hingeklatscht, die Meldung ist generisch genug, dass man verschiedene Antworten darauf findet…
Also ich entsinne mich nicht, dass man Windows dafür mit FreeRADIUS zu einem TLS downgrade zwingen muss, um mit FreeRADIUS zu arbeiten. Ich tippe mal darauf, dass ihr einen Schritt weiterkommt, sobald ihr ein Zertifikat im RADIUS-Server habt, welches die Anforderungen von Microsoft erfüllt.
Die Ausgabe von FreeRADIUS im Debugmodus mag zu Beginn etwas verwirren, aber sie hat mir zig mal bereits geholft, weil ich am Client keine sinnvolle Meldung bekomen habe bei Problemen. Deswegen ist der Standardspruch auf der FreeRADIUS-Liste derjengie, dass man Debuglogs liefern soll