O que você está vendo é, na verdade, um novo recurso no Windows Server 2008 R2.
NTLM e Negotiate são os mesmos que os das versões mais antigas do IIS. Você está correto que Negotiate = Kerberos para os propósitos desta discussão - mas o Negotiate também pode voltar ao NTLM se não puder autenticar usando o Kerberos.
2008 R2 adicionou um novo recurso no IIS chamado " Negociável 2 " (chamado Nego2 a na documentação / blogs) que permite que novos provedores de autenticação, como o LiveID, trabalhem com o IIS.
Um dos benefícios adicionais do Nego2 é que ele permite que você tenha um provedor de autenticação Kerberos / Negotiate que não recorra ao NTLM se não puder autenticar. Esse é o novo provedor "Negociar: Kerberos" que você está vendo.
A desvantagem disso é que para usar provedores Nego2 (incluindo Negociar: Kerberos) você deve desabilitar a autenticação no modo kernel, o que pode diminuir o desempenho e causar outros problemas dependendo da sua configuração.