IIS 6 - Autenticação Integrada - requer uma reinicialização diária para reconhecer usuários de domínio extras

Temos subpágina da Web (ASP clássico) configurada com a Autenticação do Windows e sem acesso anônimo.

As permissões para o diretório de destino são definidas como Leitura / Execução para um grupo local de domínio. Este grupo é composto por membros de outro domínio para o qual temos uma relação de confiança. Vamos chamá-lo de GroupA

As permissões também são definidas para o grupo de TI de nosso domínio, do qual sou membro (GroupIT).

Tudo funciona bem, até que algo aconteça durante a noite ...

Todas as manhãs, os membros do GroupA não podem acessar o site, sendo desafiados por um login / senha. Inserir suas credenciais aqui (com o qualificador de domínio) não funciona. O acesso do GroupIT funciona bem.

Os logs do servidor da Web mostram erros "401 5". Visualizador de eventos Os registros de segurança mostram os usuários se autenticando com êxito no servidor.

O IIS não está concluindo o processo de autenticação. Parece que as permissões para o GroupA na pasta de destino são descartadas. Eles são obviamente ainda visíveis.

Uma reinicialização do IIS classifica o problema até a manhã seguinte.

Demorei muito tempo tentando chegar ao fim, inclusive usando o MS Auth Diagnostics, que confirma um problema de Autenticação (401) quando sondo um login usando as credenciais de um usuário do GroupA. Não há nenhuma tarefa em execução no servidor da Web ou em nosso domínio que, obviamente, causaria isso. Eu não acho que é um caso de credenciais em cache, como eu adicionei novos usuários ao GroupA e descobri que eles não poderiam acessar o site também.

Eu apreciaria muito qualquer pensamento ..