NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2026-04 (KB5082063) nicht mehr

by | Mai 4, 2026 | ALARM, ctx_adc, microsoft

Kunden, die auf ihrem NetScaler Kerberos für SSO PreAuthentication verwenden, bekommen nach dem Microsoft April Update ein Problem. Kerberos Negogiate (SSO) funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme können davon betroffen sein. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im ns.log:

default AAATM Message 97485 0 :  "NS kerberos: Failed to verifiy negotiate data with errcode 983044"

Es handelt sich dabei um eine Sicherheitsverschärfung im April Update von Microsoft https://support.microsoft.com/en-us/topic/april-14-2026-kb5082063-os-build-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7

Aktuell ist ein Workaround, aber noch kein Fix vorhanden.

Kunden sollten das April Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.

Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.

Workaround, Achtung funktioniert gemäss Microsoft maximal bis zum Juli Update:

Auf den Domain Controllern den Regkey auf Wert 1 setzen.

KeyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

WertRC4DefaultDisablementPhase

Umgemünzt auf den NetScaler bedeutet dies dass der Wert 1, temporär wieder RC4 Kerberos Ticket für Netscaler SPNs erlaubt. Nach dem RegKey verändern ist ein gestaffelter DC reboot erforderlich!

Weitere Details zum RegKey: https://cnag.de/kerberos-rc4-deaktivierung-in-2026

ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Citrix einen Fix für den Fehler bereitstellt!

Update 08.05.2026 – Problemlösung

Allgemeine Voraussetzung

Der zugehörige AD Service Account muss AES 125 bit und oder AES 256 bit erlauben

    Danach das KeyTab File neu erzeugen und KeyTab File am Netscaler ersetzen. Ganz wichtig dabei ist die Grossschreibung!

    Beispiel unter Verwendung von KeyTab File:

    ktpass /out c:\temp\keytab\SVC-ABC-COMPANY.keytab /princ HTTP/samplesite.domain.xyz@DOMAIN.XYZ /pass /mapuser domain\SVC-ABC-COMPANY /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1

    Beispiel unter Verwendung «User Name – Password»:

    Sicherstellen dass das Domain Name Feld gross geschrieben ist!

    Weiterführende Infos: https://community.citrix.com/forums/topic/258928-negotiate-authentication-broken-kb5082063/#comment-96763

    Bleiben Sie immer aktuell informiert!

    Wenn Sie sich in unsere Mailingliste eintragen, werden Sie zukünftig direkt informiert, sobald ein Alarm oder eine Information erstellt wird. Verpassen Sie keine sicherheitskritischen Meldungen mehr und abonnieren den Newsletter noch heute.

    Invalid email address
    Bitte wählen Sie Ihre Kategorie(n).
    Citrix
    Nutanix
    Weitere
    Wir versprechen, Sie nicht zuzuspammen. Sie können sich jederzeit wieder abmelden.