Temos uma situação, devido a uma alteração recente de nome de funcionário, em que a propriedade HttpContext.Current.User.Identity.Name de um aplicativo da Web do ASP.NET é resolvida para o nome de usuário antigo. Isso foi discutido em grande detalhe aqui , aqui e novamente aqui . Redefinir o LsaLookupCacheMaxSize para a função LsaLookupSids para zero aparentemente resolverá esse problema.
O mais estranho para nós é que, das muitas aplicações web que temos (toda a intranet - windows authentication - IIS 7.5 - ASP.NET) a única que nega acesso a funcionários recentemente renomeados é a que tem o provedor Negotiate sentado acima NTLM na lista de provedores de autenticação do Windows do IIS.
Os sites com o NTLM no topo não têm esse problema.
Minha pergunta é: O NTLM ignora o cache do SID do SID nos servidores da Web e se autentica diretamente com o controlador de domínio?