microsoft | info.axacom.ch

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2026-04 (KB5082063) nicht mehr

by Simon Schürmann | Mai 4, 2026 | ALARM, ctx_adc, microsoft

Kunden, die auf ihrem NetScaler Kerberos für SSO PreAuthentication verwenden, bekommen nach dem Microsoft April Update ein Problem. Kerberos Negogiate (SSO) funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme können davon betroffen sein. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im ns.log:

default AAATM Message 97485 0 :  "NS kerberos: Failed to verifiy negotiate data with errcode 983044"

Es handelt sich dabei um eine Sicherheitsverschärfung im April Update von Microsoft https://support.microsoft.com/en-us/topic/april-14-2026-kb5082063-os-build-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7

~~Aktuell ist ein Workaround, aber noch kein Fix vorhanden.~~

~~Kunden sollten das April Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.~~

~~Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.~~

~~Workaround, Achtung funktioniert gemäss Microsoft maximal bis zum Juli Update:~~

~~Auf den Domain Controllern den Regkey auf Wert 1 setzen.~~

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Wert: RC4DefaultDisablementPhase

~~Umgemünzt auf den NetScaler bedeutet dies dass der Wert 1, temporär wieder RC4 Kerberos Ticket für Netscaler SPNs erlaubt. Nach dem RegKey verändern ist ein gestaffelter DC reboot erforderlich!~~

~~Weitere Details zum RegKey: https://cnag.de/kerberos-rc4-deaktivierung-in-2026~~

ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Citrix einen Fix für den Fehler bereitstellt!

Update 08.05.2026 – Problemlösung

Allgemeine Voraussetzung

Der zugehörige AD Service Account muss AES 125 bit und oder AES 256 bit erlauben

Danach das KeyTab File neu erzeugen und KeyTab File am Netscaler ersetzen. Ganz wichtig dabei ist die Grossschreibung!

Beispiel unter Verwendung von KeyTab File:

ktpass /out c:\temp\keytab\SVC-ABC-COMPANY.keytab /princ HTTP/samplesite.domain.xyz@DOMAIN.XYZ /pass /mapuser domain\SVC-ABC-COMPANY /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1

Beispiel unter Verwendung «User Name – Password»:

Sicherstellen dass das Domain Name Feld gross geschrieben ist!

Weiterführende Infos: https://community.citrix.com/forums/topic/258928-negotiate-authentication-broken-kb5082063/#comment-96763

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2022-11 nicht mehr

by Eckart Gutzeit | Nov. 15, 2022 | ALARM, ctx_adc, microsoft

Kunden, die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Microsoft November Update ein Problem. Kerberos funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme sind davon betroffen. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im System Eventlog des Domain Controllers:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Es handelt sich dabei um einen Bug im November Update von Microsoft, welcher bereits offiziell bestätigt ist, s. https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc

und https://borncity.com/win/2022/11/14/microsoft-confirms-kerberos-authentication-issues-after-nov-2022-updates/

Aktuell ist ein Workaround, aber noch kein Fix vorhanden, s. UPDATE 15.11.2022, 12:36

Kunden sollten das November Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.

Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.

UPDATE 15.11.2022, 12:36:

Citrix hat hier einen KB Artikel zu dem Problem veröffentlicht und auch einen Workaround beschrieben:

https://support.citrix.com/article/CTX474888/daas-vdas-not-registering-with-cloud-connectors-after-applying-microsoft-update-kb5019966

Umgemünzt auf den NetScaler bedeutet dies, dass der KCD Account so modifiziert werden muss, wie in dem Screenshot gezeigt:

Anschliessend funktioniert KCD auch mit gepatchten Domain Controllern wieder.

Sollte das nicht genügen, kann mit folgendem Registry Key das Verhalten bei der Kerberos Signaturüberprüfung angepasst werden, s. https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb#registry5020805:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]

«KrbtgtFullPacSignature»=dword:00000000

ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Microsoft einen Fix für den Fehler bereitstellt!

UPDATE 18.11.2022

Microsoft hat ein OOB Update für Domain Controller veröffentlicht, welches das oben beschriebene Problem löst.

Der offizielle Artikel und die Download Links sind hier zu finden: https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#2961

Nach der Installation des Updates auf allen Domain Controllern ist es möglich RC4 wieder vom KCD Account zu entfernen (Attribut: msDS-SupportedEncryptionTypes, Value: 24) und falls gesetzt, den Reg Key «KrbtgtFullPacSignature» wieder zu entfernen.

Exchange 0-day-Exploit 2022

by Simon Schürmann | Sep. 30, 2022 | ALARM, ctx_adc, microsoft

CVE-2022-41040, CVE-2022-41082

Security Bulletin | High |

Microsoft is investigating two reported zero-day vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability, while the second, identified as CVE-2022-41082, allows remote code execution (RCE) when PowerShell is accessible to the attacker.

What Customers Should Do

To protect your on-prem Exchange you can bind a responder policy on the Citrix ADC contentswitch handling all the Exchange related traffic:

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*\\@.*Powershell.*/)" RESET

Update 05.10.2022 (https://www.heise.de/news/Exchange-0-Day-Microsoft-korrigiert-Workaround-7284241.html):

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*.*Powershell.*/)" RESET

Bind this responder to the Exchange contentswitch.

Customers whose internal traffic flows directly to the Exchange servers should also implement the suggested mitigations described here: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

At the moment Citrix has not released any official WAF signatures.

In case you need help please open a ticket in your AXACOM Support Portal.

Sicherheitslücke Google Chrome (CVE-2022-1096: Type Confusion in V8)

by Chris Su | Apr. 5, 2022 | INFO, microsoft

Google Chrome hat nach kurzer Zeit eine neue Aktualisierung des Chrome Browsers zur Verfügung gestellt. Die neue Version schliesst wieder eine Lücke in der JavaScript Engine V8 (Type Confusion» (CVE-2022-1232). Google stuft die Lücke als «hoch» ein.

Google hat hierzu die Version «100.0.4896.75» für Windows, Linux und Mac veröffentlicht. Microsoft hat ebenfalls eine neue Version des Chromium basierenden Edge Browser veröffentlicht.

Mehr Informationen:

https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop.html

https://www.heise.de/news/Sicherheitsupdate-fuer-Webbrowser-Google-Chrome-6662814.html