yo en mi proyecto tengo cookieless= false y funciono bien con autenticationforms, por comentar...

La unica diferencia que he encontrado con el mio es que yo tengo
<deny users="?" />
<allow users="*" />
No se porque tengo ahí el allow pero veo que tu no lo tienes prueba a ver...