Hola, he estado navegando en la escasa información que hay sobre el ISA, y si bien como te comente instalar el ISA en un DC no es la mejor opción es perfectamente posible.
En cuanto a lo de ser tu el que decida quien puede disfrutar de que servicios (ej : la autentificación contra el dominio y todo esi), sin ningun problema. Puedes definir grupos de direcciones y aplicar reglas diferentes para cada uno de ellos.... podris x ejemplo para el conjunto de direcciones de tu red permitir acceder a los puerto de kerberos, terminal, etc y para el resto un cero patatero....
No se si he arrojado un pokito más de luz sobre el tema