可以将AD成员资格提供程序配置为使用Kerberos

Question

我有一个使用Active Directory成员资格提供程序的Web应用程序，当用户更改其密码时，他们可以使用旧密码或新密码登录一段时间。

此知识库文章（http://support.microsoft.com/kb/906305/en-us）导致我到 认为此行为是由NTLM身份验证引起的。

有没有办法将AD成员提供程序配置为仅执行Kerberos 身份验证而不是NTLM？

注意：我的应用程序使用最少的一组参数配置提供程序，因此每个 配置设置都设置为其默认设置。

Answer 1

看来您不能更改使用的方法。奇怪的是，这两个密码仍然可以工作，除非凭证在本地缓存，就好像它是一台断开连接的机器（类似于将机器从域中断开连接并登录时发生的情况）。这听起来不像提供者自己正在做的事情，除非提供者正在缓存凭证。我没有看到证书到期的任何事情，这导致我相信它没有这样做。

是听起来很奇怪，他们可以与都密码登录，我希望一个或其他工作，这取决于DC或沿行的东西之间的GC复制延迟。