Eu posso ver duas possibilidades: o NTLM não é compatível com reescrita de URL + ARR. Para autenticação integrada do Windows, você pode ter que configurar o Kerberos para que ele funcione corretamente.
Aqui está uma página descrevendo as etapas gerais para o SharePoint, mas é aplicável em outro lugar: link
De um mergulho profundo no artigo, você precisa criar nomes principais de serviço para os aplicativos da Web e delegar o controle à identidade do aplicativo da Web. Para criar o SPN, use um comando como este: (HTTP se aplica para HTTP e HTTPS)
setspn -s HTTP/[domain name of application] [domain name]\[server name hosting application]
Defina um SPN para cada domínio que você precisará autenticar para e para cada servidor em que os aplicativos estão hospedados (se você tiver um web farm). Em seguida, abra o diretório ativo e defina a exibição para o modo avançado. Abra o objeto de computador para um dos servidores da web. Vá para a guia de delegação. Altere o botão de opção para "Confiar este usuário apenas para delegação em serviços especificados", certifique-se de que o próximo botão de opção seja "Usar qualquer protocolo de autenticação". Clique em Adicionar. procure pelas identidades do pool de aplicativos (se for o Network Service, você não precisa se preocupar com essa parte). Clique OK. Em adicionar serviços, selecione todos os que essa identidade do pool de aplicativos é responsável e clique em OK.
Como alternativa, pode ser mais fácil criar apenas uma página padrão na raiz que redirecionará o tráfego para o local adequado, algo assim:
Response.Redirect("http://" + Request.Url.ServerName + "/WebSite" + Request.Url.PathAndQuery);
Configure os erros personalizados no site padrão para usar essa página. Eu vou fazer alguns testes, mas você pode ter que fazer outra página para erros que usa PathAndQuery do URI de referência para enviá-lo para o lugar certo.