Quais SPNs são necessários para um serviço da Web da intranet que lê registros remotos

Imagine um site que mostre o valor de uma chave de registro remoto, viva, como a versão das definições de antivírus em um PC remoto. Para ser claro, há 3 computadores envolvidos, o servidor da web atuando como um intermediário.

O site usa a Autenticação do Windows, portanto, de um navegador no Windows, suas credenciais do AD são passadas e o IIS autentica o usuário (no ASP.NET, o token do usuário é anexado e pode ser verificado programaticamente).

Estamos executando no IIS 7.5 com a autenticação no modo kernel, um SPN precisa ser configurado no AD para permitir que a parte Kerberos da Autenticação do Windows ocorra?

O site é executado em um pool de aplicativos na conta do AD DOMAIN \ AV1 , essa conta é membro de um grupo que tem direitos sobre os computadores na rede local.

O código no site não realiza a representação, pois não deseja assumir o ID do usuário do site (que não possui direitos de registro remoto), portanto, ele simplesmente faz uma chamada de registro remoto.

A conta da máquina do servidor Web ou da conta DOMAIN \ AV1 precisa de um SPN para negociar e executar a autenticação Kerberos nos computadores remotos?