在 Windows Server 2008 域控制器上,我尝试将服务主体名称 (SPN) 添加到用户帐户“Postmaster”,以便从 Communigate 电子邮件服务器启用 Kerberos 身份验证。我使用的命令行格式如下:
setspn -a imap/email-domain.com windows-domain\postmaster
当我运行此命令时,我得到结果:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
这很奇怪,因为我以域管理员组中的用户身份登录。我检查了此帐户的有效权限,但没有看到任何未包含的权限。我还尝试了其他管理员帐户,结果相同。
为了排除这个可能性,我还将用户 Postmaster 添加到了域管理员,但结果没有变化。
我正在域控制器实例上直接运行此命令。我可以毫无困难地查询 SPN,但我似乎无法写入它们。
我还尝试使用 ktpass 间接为所需用户设置 SPN,但收到警告:
WARNING: Unable to set SPN mapping data.
...我认为这是相同访问不足问题的症状。
什么原因可能导致这个错误?
答案1
您是从提升的命令提示符运行的吗(右键单击,以管理员身份运行)?如果不是,那就可以解释错误了。