Por que a segurança do Kerberos está falhando em nosso servidor proxy do ADFS?

Temos um serviço WCF que usa federação ativa para autenticar chamadores via AD FS 2.0 e está funcionando bem internamente. Agora queremos expô-lo ao mundo externo, portanto, nossa equipe de servidores configurou um servidor na DMZ para o serviço e um servidor Proxy do AD FS.

Quando o serviço WCF é chamado, obtemos a seguinte exceção:

System.ServiceModel.Security.SecurityNegotiationException: SOAP security negotiation with 'https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed' for target 'https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed' failed. See inner exception for more details.'

---> System.IdentityModel.Tokens.SecurityTokenValidationException: The NetworkCredentials provided were unable to create a Kerberos credential, see inner exception for details.

---> System.IdentityModel.Tokens.SecurityTokenException: InitializeSecurityContent failed. Ensure the service principal name is correct.

--> System.ComponentModel.Win32Exception: The specified target is unknown or unreachable.

• O servidor interno do AD FS é um servidor único configurado como farm vs. autônomo e o serviço AD FS é executado em uma conta de serviço.
• O servidor proxy do AD FS é um único servidor configurado como autônomo e o serviço AD FS é executado como Serviço de Rede.
• Uma entrada de arquivo host no servidor de aplicativos na DMZ aponta o nome do serviço do AD FS para o IP do servidor proxy.
• O firewall permite o tráfego SSL na porta 443 do proxy para o servidor interno do AD FS.
• O SPN do HOST / adfs-dev.example.com está registrado para a conta de serviço.

O que posso estar perdendo?