Respostas:
O que você está vendo é realmente um novo recurso no Windows Server 2008 R2.
NTLM e Negociar são iguais às versões anteriores do IIS. Você está correto em Negotiate = Kerberos para os fins desta discussão - mas o Negotiate também pode voltar ao NTLM se não conseguir autenticar usando o Kerberos.
O 2008 R2 adicionou um novo recurso no IIS chamado " Negociável 2 " (chamado Nego2 muito em documentação / blogs) que permite que novos provedores de autenticação como o LiveID trabalhem com o IIS.
Um dos benefícios adicionais do Nego2 é que ele permite que você tenha um provedor de autenticação Kerberos / Negotiate que não recorra ao NTLM se não puder se autenticar. Esse é o novo provedor "Negociar: Kerberos" que você está vendo.
A desvantagem disso é que, para usar provedores Nego2 (incluindo Negociar: Kerberos), você deve desativar a autenticação no modo kernel, o que pode diminuir o desempenho e causar outros problemas, dependendo da sua configuração.