Bueno .. antetodo decir que no he testeado Autentificator bajo IIS con PHP en modo CGI...
El tema de las cabeceras de redireccionamiento no conocía esos "detallitos" de IIS (tomo nota) ..
Lo que es en Autentificator .. para el tema sesiones uso:
Código PHP:
session_cache_limiter('nocache,private');
Ahí le envio cabeceras de "no cachear" y página "privada" la página .. Justamente en tu código de tu página usas otras cabeceras HTTP para casi lo mismo ..
Código PHP:
<meta http-equiv="Expires" content="Tue, 01 Jan 1980 1:00:00 GMT">
<meta http-equiv="Pragma" content="no-cache">
En alguna ocasión he leido algo sobre las cabeceras lanzadas con session_cache_limiter() que pueden dar problemas o "incompatibilidades" con ciertos navegadores y/o servidores HTTP ..
No te puedo decir más que pruebes a quitar esa llamada a session_cache_limiter() en principio .. (y las tuyas <meta> también ..) para ir "probando" ..
Un saludo,