Uma licença de proc da SQL está bem.
Se os usuários são conhecidos, por exemplo parceiros de negócios pode ser mais barato manter a abordagem de CAL, mas você precisa ser capaz de demonstrar que está controlando o acesso a usuários licenciados.
Se esses usuários da Web estiverem acessando apenas o servidor para consumir serviços do IIS, tenho certeza de que você não precisa da licença de conector para sua caixa do Windows (basta examinar a edição da Web como exemplo). O conector é somente quando você tem uma quantidade desconhecida de usuários se conectando ao servidor como um Servidor de Terminal / Servidor de Arquivos, etc.