O que você tem é uma clássica situação de salto duplo. O gráfico no post a seguir é praticamente a sua situação exata:
Quando o seu 'cliente' e 'serviço' estão no Server1, existe apenas um 'single hop' para autenticar o usuário. Quando você introduziu o Server2 na mistura, agora você tem o hop duplo onde a autenticação agora é delegada.
Como você está executando seus pools de aplicativos como uma conta de domínio, precisará configurar os nomes principais de serviço (SPNs) para impedir o salto duplo. Existem recursos mencionados no post acima. Há menção a isso neste artigo também:
Um SPN precisará ser criado para a conta de usuário, serviço e nome de host específicos. Isso precisa ser feito no controlador de domínio.