Solicitações HTTP para o diretório com autenticação de certificado de cliente resultam no código de resposta 401.2.5?

Estou no processo de atualização de um servidor Web do Windows 2003 / IIS6 para o Windows 2012 / IIS8.5. Até aí tudo bem, exceto por uma coisa. Eu tenho um serviço da Web que funciona no servidor original, mas quando eu configurá-lo no W12 / IIS8.5, cada solicitação está resultando em um código de resposta 401.2.5.

Eu pesquisei esse código de resposta extensivamente, mas, tudo que eu descobri é páginas me que isso significa que o servidor web não está configurado corretamente. Não consigo descobrir o que há de errado.

Eu configurei fazendo o seguinte:

1. Adicione o CERTIFICADO DE ROOT CERTIFICADO A CLIENTES (Servidor Seguro Classe 3 da Verisign - G3) às Autoridades de Certificação Raiz Confiáveis em mmc.
2. Crie uma conta de usuário do Windows, remova-a dos usuários, negue-a a fazer logon localmente.
3. Atualize a segurança no diretório do Windows Web Service para Negar acesso às contas de usuário do IIS e do pool de aplicativos do IIS e Permitir acesso à nova conta de usuário.
4. Desative todos os métodos de autenticação no diretório no IIS.
5. Requer certificados SSL e de cliente no diretório no IIS.
6. Mapeie o certificado do cliente para a conta de usuário no IIS usando o Editor de configuração para adicionar a opção system.webServer.security.authentication.iisClientCertificateAuthentication usando a conta de usuário que criei para essa finalidade (etapa 1).
7. Adicionar uma regra de autorização para o diretório de serviços da Web para permitir somente a conta de usuário especificada.
8. Concedendo acesso aos usuários do IIS para o arquivo web.config no diretório do Windows Web Services.
9. Reiniciando o IIS.

Alguma idéia do que poderia estar causando a resposta 401.2.5?

Eu tentei adicionar uma configuração de system.webServer.security.authorization para o diretório, mas isso não teve efeito.