Parece que o que você está tentando fazer é ter um servidor dev federado com adfs do domínio 1 e, em seguida, ter o adfs do domínio1 para aceitar tokens de adfs no domínio2 usando uma confiança do provedor de declarações. Dessa forma, os usuários do domínio1 e do domínio2 poderão fazer logon e acessar o aplicativo do servidor de desenvolvimento, desde que as regras de declaração estejam configuradas corretamente.
Portanto, a resposta à sua segunda pergunta é configurar uma confiança do provedor de declarações nos adfs no domínio1 para apontar para adfs no domínio 2 e regras de declarações para transformar / passar as declarações recebidas de adfs no domínio1. Em seguida, os adfs no domínio 2 também precisarão de uma confiança da terceira parte confiável configurada para apontar para o adfs 1, onde você escolhe quais declarações coletar e enviar.
como para question1, definitivamente parece que a chave privada para o certificado de comunicações de serviço em adfs está inacessível. Se você instalou o adfs como um farm, você terá uma conta de serviço baseada em domínio. se você o construiu como um adfs independente, ele estará usando a conta de serviço de rede incorporada. Esta escolha decide como você configura as permissões no certificado.
você menciona adfs role e adfs 2.0, por isso não tenho certeza se você está usando o adfs 2 em ambos os servidores ou a função inata fornecida com o windows 2008 / R2. Por favor, esclareça.
estes guias passo a passo devem ajudar.
para todas as coisas adfs, por favor veja