Eu tive o mesmo problema (com a última versão do asp.net web api). Eu segui para uma regra de publicação do ISA Server 2006 e consertei com as seguintes etapas:
- acesse as propriedades da regra de publicação e defina a delegação de autenticação como "Nenhuma delegação, mas Autenticação direta do cliente"
- permanecer no diálogo de propriedades e ir ao ouvinte - > propriedades - > autenticação - > avançado - > marque a caixa de seleção "Permitir autenticação do cliente via HTTP"
Isso fez isso. Depois disso, os cabeçalhos de autorização não foram mais descartados.