Ситуация такая: есть IIS на сервере, расположенном например, в домене msk.company.int.
На нем настроена аутентификация пользователей по сертификатам. Для пользователей из домена msk все работает.
Поставлена задача пустить на сервер пользователей из домена spb.company.int
Между доменами доверительные отношения и тд и тп.
На IIS в сертификаты (в ветке system.webServer/security/authentication/iisClientCertificateMappingAuthentication ) добавлены сертификаты CA доменов msk и spb, и корневой сертификат company.int

Но пользователей из домена spb.company.int пускать не хочет (московские ключи на компах из домена spb.company.int работают, т.е. проблема на 99% в настройках IIS)

На IIS крутится веб-морда от CognosBI. В самом Cognos'е есть ключик MultiDomainTrees, который разрешает этому Cognos искать пользователей либо в текущем домене, либо по всему лесу.
Есть сильное подозрение что где-то в IIS есть какой-то аналогичный параметр (который определяет где искать пользователей - только в текущем домене или во всем лесу). Есть ли такое?

PS Если вместо аутентификации по сертификатам на IIS выставить windows, то все отлично работает - пользователи из обоих доменов отлично определяются. Но нужно по сертификатам.