CSP 3.0 использовался КС2. В марте 2007 я приезжал в офис ООО "Крипто-Про" с проблемой настройки ISA Server, тогда выяснилось что при использовании версии КС1 возникает ошибка 401 на этапе аутентификации пользователя. Поэтому использовался КС2 без аппаратного обеспечения для работы его по КС2. Включил кэширование в 3.6, размер по умолчанию оставил 8. Такое впечатление, что среднее время работы увеличилось до минуты-полутора, но тем не менее, проблема сохранилась, появляется идентичная ошибка. Я не исключаю, что более дляительная работа связана с тем, что всё таки после 18 вечера по нашему времени сеть сильно разгружается, поскольку отдел эксплуатации уходит с боем часов. При этом я задумался о параметре "Размер кэша" (надеюсь, правильно перевел, использую англ. версию). За что он отвечает? Объём сохраняемых данных? или это длительность хранения данных? И с ним может быть связано возросшее время работы, но не исправившее полностью ситуацию?

Клиентские сертификаты подмаплены вручную на контроллере домена в свойствах пользователя (Name mappings).
Спасибо.

Используется ISA 2006 Standard SP1. ОС W2003 Enterprise SP1 (не R2). Различные версии CSP ставил на этом сервере.

Аналогичное поведение наблюдалось ранее с W2003 R2 Standard SP2 + ISA 2006 Standard Без SP + CSP 3.0 КС2 SP2, тогда я связал поведение с сетевыми нововведениями R2, но версия не подтвердилась.

Я думаю, нужно попробовать воспроизвести на нашей территории.
ISA сервер я готов сделать, IIS (без контента) - тоже.
Далее нужно повторить настройки IIS (структуру сайта) - может, для эксперимента привезёте свои файлы.

В принципе, всё готово.
Итак:
есть DC,
сервер ISA (в этом домене),
сервер IIS (в этом домене),
клиентский компьютер (за пределами домена)
есть сертификат аутентификации клиента (он же сертификат входа со смарткартой)
на ISA стоит требование клиентского сертификата и проверка его в AD,
перенаправление на IIS - по http.

Наверное, на первом этапе было бы интересно просто посмотреть переходы по веб-сайту (чтобы грузились картинки и другой контент, но пока без SQL).

Прошу прощения. Перенаправление к веб-серверу идёт по http, да. Но доступ не анонимный, аутентификация Windows. На ISA Server разрешено делегирование данных пользователя к веб-серверу. Функциональный уровень домена поднят до W2003, и в AD ISA-серверу разрешено делегирование пользовательских данных веб-серверу, любой протокол. Веб-сервер работает от имени доменного пользователя, не NetworkService, и для веб-сервера созданы соответствующие SPN.
Позавчера я собирал инсталлятор, с помощью которого можно было бы развернуть на веб-сервер нашу систему, но возникла проблема - всё заработало. С одной стороны, конечно, приятно, но при этом непонятны причины, по которым всё не работало до этого.
Мы сами оказываем тех. поддержку нашим клиентам, и те ситуации, когда долго разбираемся с проблемой, а оказывается клиенты, к примеру, забыли включить сетевой провод в компьютер, несколько расстраивают. Однако сейчас мы действительно изменили только то, что с вечера выключили сервера, а с утра включили. По поводу криптопровайдеров - тоже сложная история. Был установлен CSP 3.0 SP2, затем WinLogon, затем 3.6, который удалил и 3.0, и WinLogon. Потом 3.6 удалён, поставлен сторонний криптопровайдер, удалён. Поставлен снова 3.6, удалён. И в конце концов поставлен 3.0 КС2 SP2. На котором всё заработало.
Сейчас с нуля поднимаю весь вирт. домен, хочу проверить, каким будет поведение.