可以將AD成員資格提供程序配置爲使用Kerberos

Question

我有一個使用Active Directory成員資格提供程序的Web應用程序，當用戶更改其密碼時，他們可以使用舊密碼或新密碼登錄一段時間。

此知識庫文章（http://support.microsoft.com/kb/906305/en-us）導致我到 認爲此行爲是由NTLM身份驗證引起的。

有沒有辦法將AD成員提供程序配置爲僅執行Kerberos 身份驗證而不是NTLM？

注意：我的應用程序使用最少的一組參數配置提供程序，因此每個 配置設置都設置爲其默認設置。

Answer 1

看來您不能更改使用的方法。奇怪的是，這兩個密碼仍然可以工作，除非憑證在本地緩存，就好像它是一臺斷開連接的機器（類似於將機器從域中斷開連接並登錄時發生的情況）。這聽起來不像提供者自己正在做的事情，除非提供者正在緩存憑證。我沒有看到證書到期的任何事情，這導致我相信它沒有這樣做。

是聽起來很奇怪，他們可以與都密碼登錄，我希望一個或其他工作，這取決於DC或沿行的東西之間的GC複製延遲。