Имеем кластер JMS в режиме балансировки нагрузки из двух нод, на каждой из которых установлены компоненты: JMS, JAS, JWM (Data Service+Admin Portal).
Службы JMS стартуют из под выделенной учетной записи, например corp\jms-service.
При попытке сконфигурировать компоненты JAS и JWM на подключение к кластеру JMS при попадании запроса на «свою» же ноду сталкиваемся с ошибкой аутентификации: В логе Wireshark также видно, что получаем отлуп по Kerberos аутентификации.

Для исправления подобной ошибки достаточно прописать дополнительный SPN «HTTP/» в служебную учетную запись:

setspn -A HTTP/fqdn.jms.loadbalancer corp\jms-service

, где fqdn.jms.loadbalancer - FQDN кластера, corp\jms-service - имя служебной УЗ.

Аналогично, условием успеха является наличие у служебной записи SPN с префиксом HTTP/.
Дополнительно необходимо настроить аутентификацию в IIS, т.к. не получится выполнить аутентификацию по кластерному имени.
Открываем IIS Manager и для виртуальных папок Auth и Api заходим в раздел Configuration Editor.
Далее в параметре useAppPoolCredentials по пути system.webServer/security/authentication/windowsAuthentication выставляем значение true.

Перезагружаем сервер.