Юрий

В общем, ларчик просто открывался. Встроенный мембершип все равно лезет в таблицу роль-юзер, а аккаунт доступен по Profile.UserName и Role.UserInRole().
Вот одна из реализаций, которую я протестировал. Создаем штатными способами все роли + роль, которую присвоим при первом захождении АД юзера на сайт. Я назвал ее guest. На мастер странице добавил код, который присваивает зашедшему юзеру роль guest.
Roles.AddUsersToRole(Profile.UserName, "guest");
При этом создаются записи в таблицах "пользователи" и "пользователь-роль". Т.о. мы получаем внешнего пользователя к себе в базу и его связь с ролью. Остается только назначить роль с нужным уровнем доступа.
Все.

Все, нашел!
На стороне WCF в web.config есть такая запись:

<service name="WcfService1.Service2">
    <endpoint address="myserver:8088/Service2.svc" binding="customBinding" bindingConfiguration="WcfService1.Service2.customBinding0" contract="WcfService1.Service2" />
    <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
</service>

так вот, в ней полный адрес — лишний!
Подставил пустую строку:

<service name="WcfService1.Service2">
    <endpoint address="" binding="customBinding" bindingConfiguration="WcfService1.Service2.customBinding0" contract="WcfService1.Service2" />
    <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
</service>

и заработало.