在Windown Server 2008域控制器上,我试图将一个服务主体名称(SPN)添加到用户帐户“Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份validation。 我正在使用的命令行的forms是:
setspn -a imap/email-domain.com windows-domain\postmaster 当我运行这个命令时,我得到结果:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation.
这是最好奇的,因为我作为一个用户在组域pipe理员login。 我检查了这个帐户的有效权限,我看不到任何不包括在内。 我也尝试了不同的pipe理员帐户,结果相同。
为了排除这个问题,我还将用户Postmaster添加到域pipe理员,但没有更改结果。
我直接在域控制器实例上运行这个命令。 我可以毫不费力地查询SPN,我似乎无法写出它们。
我也尝试使用ktpass间接设置所需用户的SPN,但收到警告:
WARNING: Unable to set SPN mapping data.
…我认为是同样的访问不足的症状。
什么可能导致这个错误?
您是否从提升的命令提示符(右键单击,以pipe理员身份运行)运行? 如果没有,那就解释错误。