Probablemente les falte añadir un timeout (le puse 2 minutos para probar) a la declaración del formulario de autenticación:
Código HTML:
<authentication mode="Forms">
<forms name=".xkn" loginUrl="login.aspx" protection="All" timeout="2" path="/" />
</authentication>
Ahora esto podrían reforzarlo enviando cookies o hacer lo que dice KutoDominici.
Un aspecto importante es que el evento Session_End sólo es invocado cuando se usa el modo de estado de sesión en proceso (InProc, el que está por defecto) y no así para los otros 2 métodos (Out of Process y Sql Server).
Más detalles sobre el uso y rendimiento de los diferentes modos de estado de sesión:
http://msdn.microsoft.com/library/de...sp12282000.asp
Saludos