NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2026-04 (KB5082063) nicht mehr

by | Mai 4, 2026 | ALARM, ctx_adc, microsoft

Kunden, die auf ihrem NetScaler Kerberos für SSO PreAuthentication verwenden, bekommen nach dem Microsoft April Update ein Problem. Kerberos Negogiate (SSO) funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme können davon betroffen sein. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im ns.log:

default AAATM Message 97485 0 :  "NS kerberos: Failed to verifiy negotiate data with errcode 983044"

Es handelt sich dabei um eine Sicherheitsverschärfung im April Update von Microsoft https://support.microsoft.com/en-us/topic/april-14-2026-kb5082063-os-build-26100-32690-c57e289d-27c9-47cd-a183-72fabc62c5d7

Aktuell ist ein Workaround, aber noch kein Fix vorhanden.

Kunden sollten das April Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.

Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.

Workaround, Achtung funktioniert gemäss Microsoft maximal bis zum Juli Update:

Auf den Domain Controllern den Regkey auf Wert 1 setzen.

KeyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

WertRC4DefaultDisablementPhase

Umgemünzt auf den NetScaler bedeutet dies dass der Wert 1, temporär wieder RC4 Kerberos Ticket für Netscaler SPNs erlaubt. Nach dem RegKey verändern ist ein gestaffelter DC reboot erforderlich!

Weitere Details zum RegKey: https://cnag.de/kerberos-rc4-deaktivierung-in-2026

ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Citrix einen Fix für den Fehler bereitstellt!

Update 08.05.2026 – Problemlösung

Allgemeine Voraussetzung

Der zugehörige AD Service Account muss AES 125 bit und oder AES 256 bit erlauben

    Danach das KeyTab File neu erzeugen und KeyTab File am Netscaler ersetzen. Ganz wichtig dabei ist die Grossschreibung!

    Beispiel unter Verwendung von KeyTab File:

    ktpass /out c:\temp\keytab\SVC-ABC-COMPANY.keytab /princ HTTP/samplesite.domain.xyz@DOMAIN.XYZ /pass /mapuser domain\SVC-ABC-COMPANY /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1

    Beispiel unter Verwendung «User Name – Password»:

    Sicherstellen dass das Domain Name Feld gross geschrieben ist!

    Weiterführende Infos: https://community.citrix.com/forums/topic/258928-negotiate-authentication-broken-kb5082063/#comment-96763

    NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

    NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

    by | Nov. 12, 2021 | ALARM

    Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.

    Microsoft aktiviert mit dem Update einen neuen Security Mechanismus, s. https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041, mit dem der NetScaler aktuell nicht umgehen kann.

    Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.

    Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.

    Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.

    Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.

    UPDATE:

    Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:

    The complete list of out-of-band updates released by Microsoft over the weekend includes: