Kerberos время чрезвычайно чувствительный - необходимо удостовериться, что время на сервере IIS соответствует времени Контроллера домена.
Эта статья How Windows Time Service Works имеет основной обзор.
Во-первых, необходимо удостовериться, что время эмулятора PDC корректно, Как настроить авторитетный сервер времени в Windows Server
Затем, на Сервере IIS, набор это для синхронизации с доменом: Настройте клиентский компьютер для автоматической доменной синхронизации времени.
Это должно сделать это.
Чтобы сделать, что Вы ищете самым легким способом, возможным, Вы действительно хотите Windows Domain (как @Joel Coel говорит в его комментарии). Вы не должны использовать Windows Server для хостинга Домена - Samba хорошо работал в той роли уже много лет, и Samba может аутентификация бэкенда в LDAP.
Используя Windows Domain для этого предпочтительно для любых альтернатив, потому что Вы - leveraginga партия клиентского кода, который Microsoft написала и протестировала, вместо того, чтобы использовать код, который изобретает велосипед. Можно переместиться в более новые версии Windows с помощью Домена, по сравнению с тем, чтобы быть связанным с кодом (как pGina), который не работает в более новых версиях Windows.