Eine mögliche Ursache: Es existiert noch eine andere Regel die etwas für eine Benutzergruppe (AD Gruppe) Einschränkt. Solange diese existiert muss der ISA Server eine Authentifizierung verlangen, da sonst diese Regel nicht überprüft werden kann. Wer sich nicht authentifiziert wird geblockt. Irgendwie logisch wenn man es von aussen betrachtet 🙂 Wenn tortzdem spezifische Deny Regeln existieren müssen, kann dies mit IP Reservationen und entsprechenden IP Objekten in der Deny-Regel gelöst werden.
TechNet says:
If a rule that matches a request requires authentication, client credentials are validated. If credentials are valid, access policy is implemented in accordance with the rule. If a client cannot present credentials, or credentials cannot be validated, the rule denies access (even if it is an allow rule), and no further rules are evaluated. This may happen for a number of reasons. For example, a request from a SecureNAT client who cannot authenticate, or Web Proxy listener settings that are incorrectly configured, such as not enabling an authentication method on the listener.