求助（2000活动目录树，经过授权用户才能登陆internet的问题）

ltadpole

有这样一个网络环境：
A一台windows server 2000主机，安装了，dhcp，dns，还有活动目录树这些服务，为其他机器提供dhcp及nds服务，另外B一台2000主机，两块网卡，充当网关，提供nat服务，为其他机器提供上internet服务。其他所有机器都通过一个24口的交换机与上述两台主机相连。
B充当网关的那台主机通过一网卡与adsl连接，另外一网卡与24口交换机连接。
其他主机都通过A服务器获取dhcp地址及dns，都工作在2000或xp环境下。
局域网内主机访问资源与上互联网都是正常的，但现在为了限制局域网内一些主机登陆互连网，想作出这样的设置，不知道通过什么能够实现。

充分利用2000 server的活动目录内部帐号集成，不想使用第三方的任何软件来实现（这是一个前提）；现在每台主机都可以正确获得ip地址，而且访问局域网及互联网资源，A主机已升级成域控制器。

现在需要，每个用户的帐户是A主机活动目录树中认可的帐号才能登陆互连网，而不影响他们登陆局域网这个环境。现在每次各个主机都可以由A主机分配到ip地址，而且能够不经过任何认证的方式下访问到internet，现在就想限制其他主机访问互联网这个问题！如何充分利用2000server的自身资源？

在主机A上安装ias还是配置一下rras呢？客户机上如何作呢？让他们通过什么认证方式来通过A主机的认可呢？A主机需要作一个radius的认证服务器吗？还是VPN呢？客户端如何设置呢？


谢谢了，请能详细解答一下了！

daydaymovie

如果要通过验证，估计只有用ISA了
如果不需要通过验证，只有指定的机器能上，把TCP/IP中网关去掉，然后设置域用户为本机用户的power user即可(不能修改TCP/IP属性)

Highot

集成验证还是用ISA，装在B机上，加域。

haofei7766

ISA怎么实现呢，能说的具体一点吗？？

Highot

简单的，装过就知道了。