O problema não teve nada a ver com o domínio ser diferente . Você pode usar qualquer domínio e enquanto o IE estiver configurado corretamente para passar o ticket e o SPN estiver configurado corretamente no AD. A resposta de Greg me forneceu vários links que eu recomendo que você explore se estiver vindo para cá para solucionar um problema do SPN.
Descobri que precisava desativar a autenticação do modo Kernel, que também exigia que eu desbloqueie essa seção de configuração. Também achei que, se a entrada de DNS do site for um CNAME, o Internet Explorer (mas não o Chrome) usará o nome do host para o qual o CNAME está apontando ao criar o ticket SPN.
Eu tive que configurar o servidor para usar as credenciais do pool de aplicativos, como tal
<system.webServer>
<security>
<authentication>
<windowsAuthentication enabled="true" useAppPoolCredentials="true" />
</authentication>
</security>
</system.webServer>
Compreensão e configuração do modo kernel
Mas, para alterar esse bloco de configuração, foi necessário o seguinte:
A colleague pointed me to the “Feature Delegation” icon at the root
(computer) level of IIS Manager (Thanks, Ryan). Clicking into the
Feature Delegation page shows a listing of features and their current
override setting. With few exceptions each of the features can be
changed to Read/Write, Read Only, or Not Delegated
Desbloqueio das seções de configuração