Ciao
Non c'è la necessità di avere due applicazioni distinte a meno che ci siano particolari richieste di sicurezza da parte di chi gestisce l'infrastruttura dei server.
Con IIS7 è possibile avere windows authentication e form authentication nella stessa applicazione.

Se la tua app gira in "classic mode" basta abilitarle entrambe. Ti darà un warning sul fatto che sono entrambe attive ma funzionerà comunque. Forse, se non ricordo male, dovrai recuperare alcune informazioni dalle server variable. Prova ad analizzare il loro contenuto se ti manca qualche info.

Se la tua app gira in integrated mode è un po' più complicato. Dovresti creare 2 pagine di login una per la windows auth e una per la form auth.
Le pagine saranno protette con form authentication, così se un utente ci arriva diretto verrà rediretto al login.
La pagina di login sarà protetta con windows auth, così che possa partire la windows authentication.
La windows authentication passerà (nel caso di utente "esterno" avrai creato un apposito utente di dominio che li mappa tutti).
Se l'utente è esterno gli verrà presentata la pagina di login della form authentication e quindi potrà inserire la propria username e password.
Se l'utente è interno puoi fare un login "programmatico" così che la form authentication passi e l'utente possa procedere.

Altri dettagli puoi trovarli anche leggendo questo articolo: http://msdn.microsoft.com/en-us/library/ms972958.aspx