Auf einem Windows Server 2008-Domänencontroller versuche ich, einem Benutzerkonto 'Postmaster' einen Service Principal Name (SPN) hinzuzufügen, um die Kerberos-Authentifizierung von einem Communigate-E-Mail-Server aus zu aktivieren. Die Befehlszeile, die ich verwende, hat folgende Form:
setspn -a imap/email-domain.com windows-domain\postmaster
Wenn ich diesen Befehl ausführe, erhalte ich das Ergebnis:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Dies ist sehr merkwürdig, da ich als Benutzer in der Gruppe Domain Admins angemeldet bin. Ich habe die effektiven Berechtigungen für dieses Konto überprüft und kann keine sehen, die nicht enthalten sind. Ich habe auch ein anderes Administratorkonto ausprobiert, mit dem gleichen Ergebnis.
Um dies auszuschließen, habe ich auch den Benutzer Postmaster zu Domain Admins hinzugefügt, aber keine Änderung am Ergebnis.
Ich führe diesen Befehl direkt auf der Domänencontrollerinstanz aus. Ich kann SPNs problemlos abfragen, ich kann sie einfach nicht schreiben.
Ich habe auch versucht, mit ktpass indirekt den SPN für den gewünschten Benutzer festzulegen, erhielt jedoch eine Warnung:
WARNING: Unable to set SPN mapping data.
... was ich für ein Symptom des gleichen Problems mit unzureichendem Zugriff halte.
Was könnte diesen Fehler verursachen?