Câu trả lời:
Những gì bạn đang thấy thực sự là một tính năng mới trong Windows Server 2008 R2.
NTLM và đàm phán giống như trong các phiên bản cũ hơn của IIS. Bạn đã đúng rằng đàm phán = Kerberos cho các mục đích của cuộc thảo luận này - nhưng đàm phán cũng có thể quay trở lại NTLM nếu nó không thể xác thực bằng cách sử dụng Kerberos.
2008 R2 đã thêm một tính năng mới trong IIS có tên là " Thỏa thuận 2 " (được gọi là Nego2 rất nhiều trong tài liệu / blog) cho phép các nhà cung cấp xác thực mới như LiveID hoạt động với IIS.
Một trong những lợi ích bổ sung của Nego2 là nó cho phép bạn có nhà cung cấp xác thực Kerberos / đàm phán không rơi trở lại NTLM nếu không thể xác thực. Đó là nhà cung cấp "Đàm phán: Kerberos" mới mà bạn đang thấy.
Nhược điểm của việc này là để sử dụng các nhà cung cấp Nego2 (bao gồm cả đàm phán: Kerberos), bạn phải vô hiệu hóa xác thực chế độ nhân, điều này có thể làm giảm hiệu suất và gây ra các vấn đề khác tùy thuộc vào cấu hình của bạn.