在Windown Server 2008域控制器上,我正在尝试将服务主体名称(SPN)添加到用户帐户“Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份验证.我正在使用的命令行具有以下形式:
setspn -a imap/email-domain.com windows-domain\postmaster
当我运行此命令时,我得到结果:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,DC=com',error 0x2098/8344 -> Insufficient access rights to perform the operation.
这是最奇怪的,因为我以Domain Admins组中的用户身份登录.我检查了此帐户的有效权限,但我看不到任何未包含的权限.我也尝试了不同的管理员帐户,结果相同.
为了排除它,我还将用户Postmaster添加到Domain Admins,但结果没有变化.
我直接在域控制器实例上运行此命令.我能够毫无困难地查询SPN,我似乎无法写出它们.
我还尝试使用ktpass在所需用户上间接设置SPN,但收到警告:
WARNING: Unable to set SPN mapping data.
…我假设是同样的访问不足问题的症状.
可能导致此错误的原因是什么?