Existe algum risco em ativar a delegação do Kerberos para permitir saltos duplos. Basicamente, você está permitindo que o IIS represente o usuário sem que o usuário realmente insira quaisquer credenciais novamente. Em um ambiente do Active Directory do Windows 2000, existe apenas o que é conhecido como delegação sem restrições. Basicamente, você não pode restringir o que está fazendo a delegação e para onde ela pode delegar muito bem (assim como você gostaria). Nesses casos, a Microsoft recomenda enfaticamente não usar a delegação do Kerberos. Se você estiver no Windows 2003 ou no Active Directory 2008, poderá e deverá usar a delegação restrita. Isso permite que você seja bastante específico com a delegação. Nesse caso, há um risco maior, mas geralmente o fato de você não ter usuários que digitarem novas credenciais ou usar suas contas de serviço ou logins do SQL Server vale o risco aumentado.
Na medida em que o NTLM continuará ou não, isso depende. Se a autenticação Kerberos puder ser estabelecida, ela será usada. Isso inclui nos casos em que ele está retornando um erro (e você não acha que deveria ser), como se os SPNs estivessem errados, etc. Ele só retornará ao NTLM se a autenticação Kerberos não puder ser usada. Com isso dito, o Kerberos é o protocolo de segurança mais novo e possui recursos de segurança que o NTLM não inclui o timestamp (impedindo ataques de retransmissão), a capacidade do cliente de verificar a identidade do servidor (que o NTLM não pode fazer) e o uso de tickets o que deve reduzir o tráfego geral de autenticação para os DCs.