ADSSO Authentifizierung schlägt via Kerberos fehl - NTLM funktioniert

Moin,

Kunde hat eine XGS-FW erhalten, nutze davor eine SG.
Eingerichtet wurde AD SSO an Orientierung vom Sophos-Com-Beitrag. (https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/HowToArticles/AuthenticationKerberosTurnOn/index.html#configure-a-hostname)

Folgendes Problem:

NTLM-Auth funktioniert ohne Probleme
KERBEROS scheitert: "Cannot initalize...".

NASM-Log sagt folgendes.

[nasm] initialize_kerberos(): realm = XXXX.LOCAL
Dec 02 10:06:58.761799Z [nasm] system configured hostname [XX-XGS01]
Dec 02 10:06:58.762319Z [nasm] initialize_kerberos(): gss_acquire_cred HOST/XX-XGS01@XX.LOCAL: No key table entry found for HOST/XX-XGS01@XXX.LOCAL

Hat jemand eine Idee ?