Estoy desarrollando una aplicación web .NET para ASP.NET y estoy tratando de denegar el acceso a mi aplicación a todos los usuarios que no están autorizados pero que solo les permite acceder a la página de inicio de sesión.

A continuación se muestra un fragmento del código que está dentro de mi sección system.web:

<authentication mode="Forms">
   <forms loginUrl="Login.aspx" timeout="60" name="APPNAME" slidingExpiration="true" />
</authentication>
<authorization>
   <deny users="?" />
</authorization>

También tengo esto afuera para permitir el acceso a la página de inicio de sesión:

  <location path="Login.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

Sin embargo, todavía puedo acceder a las páginas cuando no estoy conectado, ¿cómo podría evitar que esto suceda?

Incluso he agregado un archivo Web.Config a la carpeta Principal que almacena la mayoría de los archivos del sitio web cuyo contenido es:

<?xml version="1.0"?>
<configuration>
    <appSettings/>
    <connectionStrings/>
    <system.web>
        <authorization>
            <deny users="?" />
        </authorization>
    </system.web>
</configuration>

Pero esto todavía no tiene ningún efecto.

Solución

Había seguido algunos consejos de optimización para asp.net (http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx) y eliminó el httpModule AnonymousIdentification que realmente necesitaba.