Это было некоторое время, так как я работал с ISA, но одна вещь, которую я помню (кроме этого являющегося злым сценарием) состояла в том, чтобы удостовериться, что IIS связывает с IP-адресом, который является внутренним к Вашему ISA.
Существует тонна полезных статей о isaserver.org и также о windowssecurity.com, я уверен, что это было бы упомянуто там. Я буду видеть, могу ли я найти что-то полезным для Вас.