通过ISA2006用户验证控制访问internet中的错误－－－急，麻烦各位了

大家好：
        为了限制部分用户上网，我这里利用ISA2006的NAT来控制用户的上网，后发现部分用户修改本机IP地址来上网。为了避免该情况，我这里设置为两层验证，一、用户电脑的IP地址必须在ISA2006的允许上网的访问内，二、用户登录域的用户名必须在ISA2006允许上网的用户名验证内。
        ISA2006加入了内部的域，刚开始发现可以利用这两层策略上控制用户，但是发现使用不久后，用户电脑就上不了网，WEB代理出现如下错误：
        错误代码: 407 Proxy Authentication Required。The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied. (12209) IP 地址: 192.168.1.3 日期: 2008-9-24 9:20:51 [GMT] 服务器:aaa.bbb.com 源: 代理
       在ISA2006的日志中发现如下的错误：
此计算机无法与域 bbb 中的域控制器建立安全 会话，原因如下: 远程过程调用被取消。 这可能导致身份验证问题。请确定此计算机 连接到网络。如果问题持续存在，请与您的 域管理员联系。 其他信息 如果此计算机是指定域的域控制器，它建立 到指定域的主域控制器仿真器的安全会话。 否则，此计算机建立到指定域中任一域控制器的 安全会话。 有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。 5719
        后来，我在域控制器中的DNS服务器发现，原来aaa.bbb.com对于的192.168.1.X的主机记录没有了。尝试了几次还是一样。 我这里的测试结果，有部分电脑可以上网，有部分不可以，过不了10分钟，导致使用WEB代理的全部上了网。理论上我感觉我的设置没有错误，估计部分电脑某些原因导致ISA不能验证用户，进而反馈到域控制器那里。致使身份验证问题.
       请各位帮忙，小弟先谢谢了！

确保你的ISA与域控制器通信是正常的！

我利用用户验证是为了进一步控制用户上网，避免用户修改IP来上网，即使用户修改了IP由于不是ISA允许的用户，也不能访问INTERNET。我这里即使出现那个错误，如果还是利用NAT来上网，不影响。当然出现该错误后，ISA还是可以访问域主机的，以下是ISA的截图，请各位帮忙，再次谢谢了。

[ 本帖最后由 yjjdream 于 2008-9-25 12:02 编辑 ]

407表示用户没有办法进行身份验证，就是你的ISA服务器已经解析不到你的域控制器了，服务器是2003的吗，建议打上最新的补丁，有一个比较笨的办法就是去掉外部的DNS之后再加上