Токен Windows NT с ADFS для получения ролей удаленных пользователей

Я создал токен-приложение ADFS с поддержкой Windows NT. Настроил IIS 7 для включения токена Windows NT при аутентификации и URL-адрес ответа как https://adfsweb.treyresearch.net/tokenapp

Я добавил это приложение в приложение adfsresource как приложение на основе токена Windows NT.

Используя этот файл web.config (http://blogs.technet.com/b/adfs_documentation/archive/2006/08/03/444865.aspx#DSDOC_BKMK_667328988_f5db_446a_9261_00b4)

Файл default.aspx.cs, как показано ниже.

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Security.Principal;

public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
        Label1.Text = HttpContext.Current.User.Identity.Name;
        WindowsIdentity i = (WindowsIdentity)HttpContext.Current.User.Identity;

        IdentityReferenceCollection irc = i.Groups;

        foreach (IdentityReference ir in irc)
        {
            Label2.Text += ir.Translate(typeof(NTAccount)).Value.ToString() + "; ";

        }

    }
}

Это работает до тех пор, пока я вхожу в систему из домена adfsresources с пользователем treyresearch, net.

Если я использую этот URL-адрес tokenappp из домена adatum.com, я получаю сообщение об ошибке, а в журнале событий сервера adfsresource у меня есть эта ошибка:

Event code: 4011 
Event message: An unhandled access exception has occurred. 
Event time: 11/29/2011 7:20:26 PM 
Event time (UTC): 11/30/2011 1:20:26 AM 
Event ID: ac49318023ee4ba4ab7ab6e0bca78522 
Event sequence: 5 
Event occurrence: 2 
Event detail code: 0 

Application information: 
    Application domain: /LM/W3SVC/1/ROOT/adfs-1-129670890061718750 
    Trust level: Full 
    Application Virtual Path: /adfs 
    Application Path: C:\Windows\SystemData\ADFS\sts\ 
    Machine name: ADFSRESOURCE 

Process information: 
    Process ID: 1892 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\NETWORK SERVICE 

Request information: 
    Request URL: https://adfsresource.treyresearch.net:443/adfs/ls/clientlogon.aspx 
    Request path: /adfs/ls/clientlogon.aspx 
    User host address: 192.168.10.133 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\NETWORK SERVICE 

Custom event details: 

Означает ли это, что мне нужно иметь доверие Windows поверх доверия ADFS, чтобы использовать токен Windows NT для удаленных доменов? если это так, нет смысла иметь доверие ADFS, если мне также нужно иметь доверие домена Windows.

Я могу заставить свое приложение для претензий работать правильно из удаленного домена, но я добавил это новое приложение токена после того, как был завершен импорт экспорта политики доверия http://technet.microsoft.com/en-us/library/cc731103%28WS.10%29.aspx

Я также просмотрел и проверил эту информацию ниже http://technet.microsoft.com/en-us/library/cc734929%28WS.10%29.aspx