SharePoint 中基于 Active Directory 声明的身份验证错误

我正在尝试登录一个新的 SharePoint 应用程序，该应用程序的身份验证方法设置为基于声明的身份验证 (CBA)。我登录的用户是网站集管理员。尝试登录时，我得到了拒绝访问页面。查看网站正在运行的 WFE 上的事件日志时，我看到以下错误：

调用 SPClaimProvider.FillResolveClaim() 时，Active Directory 声明提供程序中发生异常：不允许请求的注册表访问。

事件 ID：8307

用户： NT AUTHORITY\IUSR

我明白为什么 IUSR 没有注册表访问权限，但为什么 SharePoint 会在该帐户下运行请求，而 Web 应用程序是在域服务帐户下运行的？除了这个 Web 应用程序之外，几乎所有东西都在正常运行。由于搜索要求（单向域信任），需要基于声明的身份验证。