Respuestas:
Lo que está viendo es en realidad una nueva característica en Windows Server 2008 R2.
NTLM y Negotiate son los mismos que en versiones anteriores de IIS. Tiene razón en que Negotiate = Kerberos para los propósitos de esta discusión, pero Negotiate también puede recurrir a NTLM si no puede autenticarse usando Kerberos.
2008 R2 agregó una nueva característica en IIS llamada " Negociable 2 " (llamada Nego2 mucho en documentación / blogs) que permite a los nuevos proveedores de autenticación como LiveID trabajar con IIS.
Uno de los beneficios adicionales de Nego2 es que le permite tener un proveedor de autenticación Kerberos / Negotiate que no recurre a NTLM si no puede autenticarse. Ese es el nuevo proveedor "Negociar: Kerberos" que está viendo.
La desventaja de esto es que para usar los proveedores de Nego2 (incluido Negotiate: Kerberos) debe deshabilitar la autenticación en modo kernel, que puede disminuir el rendimiento y causar otros problemas dependiendo de su configuración.