Перемещение моего веб-сайта к другому серверу изменяет аутентификацию от Kerberos до NTLM
Похож нет никакого хорошего способа сделать это
То, что Вы имеете, является классической двойной ситуацией с транзитным участком. Диаграмма в следующем сообщении является в значительной степени Вашей точной ситуацией:
http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx
Когда и Ваш 'клиент' и 'сервис' находятся на Server1, существует только 'единственный транзитный участок' для аутентификации пользователя. Когда Вы ввели Server2 в соединение, у Вас теперь есть двойной транзитный участок, где аутентификация теперь делегирована.
Так как Вы выполняете свои пулы приложений как учетную запись домена, Вам будет нужно к именам принципала подготовительного обслуживания (SPNs) для предотвращения двойного транзитного участка. Существуют ресурсы, упомянутые в сообщении выше. Существует упоминание о нем в этой статье также:
http://msdn.microsoft.com/en-us/library/ff649309.aspx
SPN должен будет быть создан для определенной учетной записи пользователя, сервиса и имени хоста. Это должно быть сделано на контроллере домена.