Eu finalmente encontrei uma solução para nós:
Como não temos o requisito de autenticação "multi-hop" (= kerberos), consegui forçar o NTLM. No servidor web sob a autenticação (site) eu mudei os provedores para a Autenticação do Windows e removi tudo menos o NTLM. Então, o NTLM é o único meio disponível para autenticação.
No ARR, alterei tudo de volta para as configurações originais e habilitei apenas o acesso anônimo. Então o ARR é capaz de passar a autenticação para o servidor web.
Na minha opinião, a Microsoft tem um bug no manuseio do Kerberos e não depende se a autenticação é feita em um Kernel ou pela ARR.