И старый, и новый пароль работают после того, как пользователь меняет его

Question

У меня есть приложение ASP.Net 4.0, которое использует проверку подлинности с помощью форм и ActiveDirectoryMembershipProvider.Он проходит проверку подлинности в Active Directory, работающем в Windows Server 2008 R2.

Я использую элемент управления ChangePassword для смены паролей.

Когда пользователь меняет пароль, он может некоторое время входить в систему со старым паролем.Мой клиент чувствует, что это проблема безопасности приложения.Есть ли способ убедиться, что старый пароль не работает после того, как пользователь его изменил?

Редактировать: Кроме того, если я делаю iisreset на веб-сервере, старый пароль перестает работать.Пароль должен быть кэширован где-то в веб-приложении

Answer 1

http://support.microsoft.com/kb/906305/en-us - Это относится к Server 2003 SP1 +, но, вероятно, также относится к Server 2008

Answer 2

Я не уверен, что вам все еще нужно решение этой проблемы, но, скорее всего, это проблема с вашим контроллером, у которого нет значения реестра OldPasswordAllowedPeriod, или он имеет значение, равное 5 минутам. В статье, на которую указывает Фил (http://support.microsoft.com/kb/906305), рассказывается, как ее реализовать. Надеюсь, это поможет