Completamente o erro da pergunta, aqui está a tentativa 2.
Assumindo:
- o servidor é um membro do domínio do AD 2000+
- o cliente é um membro do domínio
Quando você digita "domain.com", o IE vai criar um Nome Principal de Serviço de http / domain.com e pedir a um DC para lhe dar um ticket para isso.
Se domain.com for algo real, ou seja, seu nome de domínio do AD, isso não vai acontecer. Pelo menos, eu não assumo.
Teste este como orientação sobre os SPNs. Tome o primeiro conselho também, e use a versão 2008 do SetSPN para fazer o material do SPN.
Em suma, você usa a conta do Pool de aplicativos (se for o IIS 6, é o serviço de rede por padrão, portanto, a conta do computador 'servidor da Web $') e registra um SPN:
SETSPN -S http / example.com DOMÍNIO \ WebServer $
Em teoria, neste momento, tudo funciona.
Eu presumo que o FireFox não faça o comando Curb auth contra o servidor, e que o IE demore mais para falhar porque está tentando.