Почему сбой безопасности Kerberos для нашего прокси-сервера ADFS?

У нас есть служба WCF, которая использует активную федерацию для аутентификации абонентов через AD FS 2.0, и она прекрасно работает внутри. Теперь мы хотим показать его внешнему миру, поэтому наша команда серверов настроила сервер в DMZ для службы и прокси-сервер AD FS.

Когда вызывается служба WCF, мы получаем следующее исключение:

System.ServiceModel.Security.SecurityNegotiationException: согласование безопасности SOAP с " https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed" для цели " https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed'не удалось. Смотрите внутреннее исключение для более подробной информации.

---> System.IdentityModel.Tokens.SecurityTokenValidationException: предоставленные NetworkCredentials не смогли создать учетные данные Kerberos, подробности см. Во внутреннем исключении.

---> System.IdentityModel.Tokens.SecurityTokenException: InitializeSecurityContent не выполнен. Убедитесь, что имя участника службы указано правильно.

-> System.ComponentModel.Win32Exception: указанная цель неизвестна или недоступна.

• Внутренний сервер AD FS - это отдельный сервер, настроенный как ферма, а не как отдельный, а служба AD FS работает под учетной записью службы.
• Прокси-сервер AD FS - это отдельный сервер, настроенный как автономный, а служба AD FS работает как сетевая служба.
• Запись файла хоста на сервере приложений в DMZ указывает имя службы AD FS на IP-адрес прокси-сервера.
• Брандмауэр разрешает трафик SSL через порт 443 от прокси-сервера к внутреннему серверу AD FS.
• SPN HOST / adfs-dev.example.com зарегистрирован для учетной записи службы.

Чего мне не хватает?