Se este aplicativo for somente para uso interno, recomendo usar a autenticação integrada, em vez de digerir. Para aplicativos sem autenticação de formulário da web como a sua, 99% são integrados (passagem de autenticação AD) ou autenticação básica sobre SSL.
Além disso, o Digest nem sempre funciona com o AD e depende das configurações no AD e em cada usuário. Google coisas como "digerir o diretório ativo de autenticação" ou "digerir a criptografia reversível" para ver os problemas que as pessoas têm com ele.
Outras coisas a observar são permissões NTFS em arquivos / pastas, e se o anônimo estiver habilitado (não deveria ser).