Ответы:
На самом деле вы видите новую функцию в Windows Server 2008 R2.
NTLM и Negotiate такие же, как и в более старых версиях IIS. Вы правы, что Negotiate = Kerberos для целей этого обсуждения - но Negotiate также может вернуться к NTLM, если он не может аутентифицироваться с использованием Kerberos.
В 2008 R2 добавлена новая функция в IIS под названием « Negotiable 2 » (часто называемая Nego2 в документации / блогах), которая позволяет новым поставщикам аутентификации, таким как LiveID, работать с IIS.
Одним из дополнительных преимуществ Nego2 является то, что он позволяет вам иметь поставщика проверки подлинности Kerberos / Negotiate, который не использует NTLM, если не может выполнить проверку подлинности. Это новый провайдер "Negotiate: Kerberos", которого вы видите.
Недостатком этого является то, что для использования поставщиков Nego2 (включая Negotiate: Kerberos) вы должны отключить аутентификацию в режиме ядра, что может снизить производительность и вызвать другие проблемы в зависимости от вашей конфигурации.