Kunden, die auf ihrem NetScaler Kerberos für SSO PreAuthentication verwenden, bekommen nach dem Microsoft April Update ein Problem. Kerberos Negogiate (SSO) funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme können davon betroffen sein. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im ns.log:
default AAATM Message 97485 0 : "NS kerberos: Failed to verifiy negotiate data with errcode 983044"
Es handelt sich dabei um eine Sicherheitsverschärfung im April Update von Microsoft https://support.microsoft.com/en-us/topic/april-14-2026-kb5082063-os-build-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7
Aktuell ist ein Workaround, aber noch kein Fix vorhanden.
Kunden sollten das April Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.
Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.
Workaround, Achtung funktioniert gemäss Microsoft maximal bis zum Juli Update:
Auf den Domain Controllern den Regkey auf Wert 1 setzen.
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Wert: RC4DefaultDisablementPhase
Umgemünzt auf den NetScaler bedeutet dies dass der Wert 1, temporär wieder RC4 Kerberos Ticket für Netscaler SPNs erlaubt. Nach dem RegKey verändern ist ein gestaffelter DC reboot erforderlich!
Weitere Details zum RegKey: https://cnag.de/kerberos-rc4-deaktivierung-in-2026
ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Citrix einen Fix für den Fehler bereitstellt!