Apenas para mais informações sobre isso. Há muito trabalho que precisa ser feito em relação a qualquer handshake / auth do NTLM. Para começar, a solicitação é normalmente enviada 3 vezes para completar o handshake (isso é problemático com o POST com o corpo da mensagem, e o IE tem um hack hediondo para tentar aliviar isso, o que na verdade só causa problemas).
Portanto, o proxy, ao autenticar todas as conexões, está lidando com três vezes as solicitações e também precisa passar esse tráfego de autenticação via SSPI para o controlador de domínio, portanto, a carga no controlador de domínio também é muito maior. Então, o WinGate precisa recuperar o objeto do AD, portanto, o carregamento do LDAP no AD DS também é maior.
Esta carga é reduzida pelo armazenamento em cache das credenciais. Isto é baseado em uma suposição, é claro, que há apenas 1 usuário nesse IP. Se essa suposição for inválida, o WinGate tem regras para substituir esse comportamento.