Active directory AD成员资格提供程序是否可以配置为使用Kerberos

我有一个使用Active Directory成员资格提供程序的web应用程序，以及 用户更改密码后，可以使用旧密码或 新密码将保留一段时间

这篇知识库文章（）将我引向 请相信此行为是由NTLM身份验证引起的

有没有办法将AD成员资格提供程序配置为仅执行Kerberos 身份验证而不是NTLM

注意：我的应用程序使用最少的一组参数配置提供商，因此

---

配置设置设置为其默认值

您似乎无法更改所使用的方法。奇怪的是，除非凭据像断开连接的机器一样在本地缓存，否则这两个密码仍然有效（类似于将机器从域断开连接并登录时发生的情况）。这听起来不像是提供者本身正在做的事情，除非提供者正在缓存凭据。我没有看到任何关于证书过期的信息，这让我相信它没有这样做

---

这听起来很奇怪，他们可以同时使用两个密码登录，我希望其中一个能正常工作，取决于DC之间的GC复制延迟或类似情况。

我相信KB文章中提到的这种行为是在域控制器上发生的，与IIS/ASP.Net或AD成员资格提供程序无关。但此行为适用于NTLM身份验证，而不适用于Kerberos。这就是为什么我希望AD成员资格提供程序使用Kerberos。