Sem ver a captura de pacotes, acho que o HTTP / www.website.com SPN precisa ser registrado na conta que está executando o aplicativo. A equipe de serviços de diretório da Microsoft tem uma excelente postagem em várias partes abordando este tópico no seguinte URL.
Execute uma captura de pacote (netmon, wireshark) de um cliente em cada ambiente para identificar qual SPN está sendo pesquisado. Uma vez determinado, use o setspn cmd para registrá-lo na conta que está executando o aplicativo.
FWIW, o Kerberos funciona somente na LAN. Se alguém precisar acessar onde os controladores de domínio não estão acessíveis, convém considerar um SSO como o Shibboleth ou o ADFS.
EDIT: como mencionado por @ alex-h , os navegadores precisarão ser configurados para autenticar silenciosamente via Kerberos.
- Internet Explorer - enquanto o artigo do TechNet não é específico para sua aplicação, os passos são os mesmos.
- Firefox - igual ao link do IE, Correspondência não exata, mas as etapas são as mesmas.
Por fim, esse é um problema comum nas implantações do Microsoft Sharepoint. Eles querem que o SSO via Kerberos ocorra silenciosamente assim que os usuários se autenticarem no domínio. Assim, se as respostas acima não resolverem seu problema, tente verificar os fóruns deles, como os seguintes: