Acabou de reconstruir o farm, depois que uma instalação limpa funcionou. Confianças de domínio unidirecionais precisam de muito trabalho prévio, é tudo o que posso dizer ...
Estou tentando fazer login em um novo aplicativo do SharePoint, que tem seu método de autenticação definido como CBA (Claims Based Authentication). O usuário com quem estou fazendo login é admin do conjunto de sites. Ao tentar fazer o login, recebo a página de acesso negado. Ao procurar no log de eventos no WFE o site está em execução, vejo o seguinte erro:
An exception occurred in Active Directory claim provider when calling SPClaimProvider.FillResolveClaim(): Requested registry access is not allowed.
Event ID: 8307
User: NT AUTHORITY\IUSR
Eu entendo porque IUSR não teria acesso ao registro, mas por que o SharePoint executaria uma solicitação sob essa conta, a webapp está sendo executada em uma conta de serviço de domínio? Praticamente tudo está funcionando como deveria, exceto este aplicativo da web. A autenticação baseada em declarações é necessária devido a requisitos de pesquisa (relações de confiança unidirecionais de domínio).