si, hai ragione, devi eliminare il SetAuthCookie, che lo sovrascrive.
è stato un errore di impaginazione, ho "tagliato" male i pezzi salienti ed ho decommentato il SetAuthCookie
ovviamente ho sistemato anche l'archivio.

perchè quello che fa è verificare se c'è qualcosa o meno in Request["ReturnUrl"], quindi tanto vale scriverlo nel codice. da reflector:

public static string GetRedirectUrl(string userName, bool createPersistentCookie)
{
FormsAuthentication.Initialize();
if (userName == null)
{
return null;

}
HttpContext context1 = HttpContext.Current;
string text1 = context1.Request["ReturnUrl"];
if (text1 == null)
{
text1 = UrlPath.Combine(context1.Request.ApplicationPath, "default.aspx");

}
return text1;

}

ora, sarò presuntuoso, ma mi pare che le tre righe che ho scritto io siano decisamente migliori