在Windown Server 2008域控制器上,我试图将服务主体名称(SPN)添加到用户帐户“ Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份验证。我使用的命令行格式如下:
setspn -a imap/email-domain.com windows-domain\postmaster
当我运行此命令时,得到的结果是:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
这是最奇怪的,因为我以Domain Admins组中的用户身份登录。我检查了该帐户的有效特权,但看不到未包含的任何特权。我还尝试了另一个管理员帐户,结果相同。
为了排除这种情况,我还将用户Postmaster添加到Domain Admins中,但结果没有变化。
我直接在域控制器实例上运行此命令。我能够毫不费力地查询SPN,但似乎无法编写它们。
我还尝试使用ktpass间接在所需用户上设置SPN,但收到警告:
WARNING: Unable to set SPN mapping data.
...我认为这是相同的访问不足问题的征兆。
是什么导致此错误?