Подключение к ISA с компьютера, не входящего в домен
 

Возможно, проблема тривиальна, но гугление мне внятного ответа не дало.
Ситуация: есть домен, в домене - ISA Server 2006, через который ходят в Интернет машины из домена. Возникла необходимость пустить в Интернет ноутбук с Windows 7 Home, который в домен не включишь (подразумевается, что пользователь будет работать на нём и в офисе, и дома). Ноутбук получил IP-адрес по DHCP (зарезервированный за ним), в нашу сеть ходит от имени своего локального пользователя (имя и пароль которого совпадают с созданными в домене для такого случая). На ISA создан объект типа "компьютер" с IP-адресом этого компьютера, с которого во внешнюю сеть разрешено ходить всем пользователям ("All users") по протоколам DNS, HTTP, HTTPS, POP3, SMTP и на всякий случай Ping (правило назвал "nodomain"). На сам клиентский компьютер установлен соответствующий "Клиент межсетевого экрана".

Проблема следующая. Если в "свойствах обозревателя" прямо указать адрес прокси-сервера, он в Интернет ходит. Но если попытаться подключиться через "Клиент" (скажем, скачать почту "Аутлуком") - доступа нет. "Клиент" выдаёт ошибку: "Отключен:не удается проверить подлинность сервера ISA Server".
Просмотр логов на ISA даёт следующее: когда в Интернет идёт IE с прописанным адресом прокси-сервера, выдаются сообщения с честно указанным протоколом HTTP, правилом "nodomain" и пользователем почему-то "anonimous". Но если до сервера пытается достучаться "Клиент", протокол указывается "Клиент межсетевого экрана Microsoft (TCP)", поле "имя пользователя" пусто, правило тоже пусто (т.е., как я понимаю, ни одному правилу соответствия не нашлось?) - и, соответственно, получается "Закрытое соединение".
Пробовал явно разрешить в правиле "nodomain" протокол "Клиент межсетевого экрана Microsoft (TCP)" - ничего не изменилось.
Задал на клиентском ноутбуке в "Диспетчере учетных данных" в явном виде имя и пароль пользователя, под которым надо подключаться к машине с ISA-сервером - ничего не изменилось, всё равно "anonimous" или пусто.
Что с этим делать?

FWC удалите.
и поставьте правило nodomain над любыми другими в которых есть явное указание пользотелей или групп.

cameron, правило, конечно, стоит выше всех с явно указанными пользователями. Без FWC он может, конечно, выбраться во внешний мир, но только если адрес ISA-сервера указан на нём как шлюз по умолчанию. Если нет - он просто не догадается, куда обращаться. Проблема в том, что в нашей сети ISA-сервер не является шлюзом по умолчанию, потому что она состоит из нескольких подсетей, и маршрутизирует их роутер CISCO, а не машина с ISA-сервером.
Нетрудно было бы руками прописать на ноутбуке ISA-сервер шлюзом по умолчанию; но задача в том, чтобы пользователю ни дома, ни на работе не приходилось ничего самому прописывать (в компьютерах он категорически не спец). Так что единственный вариант - DHCP, а оно выдаёт шлюзом по умолчанию адрес циски, а не исы.
...В конце концов решил принять половинчатое решение: прописать нужный адрес шлюза (и DNS-сервера Интернета, а не внутренней нашей сети) в настройках сервера DHCP индивидуально для резервации IP-адреса этого ноутбука. Ну не сможет он, будучи на работе, попасть в подсеть бухгалтерии - но ему это, надеюсь, и не надо.
Но всё-таки вопрос решённым не считаю. Вдруг кто-нибудь знает, как достичь полного решения, т. е. и в Интернет машину пустить, и внутренние подсети оставить ей доступными?

и тут то на помощь приходит резервирование.
и это тоже не проблема - PBR.
если уж кошка не может сделать source NAT для этого IP.
есть вoлшебные опции DHCP - 249 для старичков и 121 для молодых.