Trên Bộ điều khiển miền Windown Server 2008, tôi đang cố gắng thêm Tên hiệu trưởng dịch vụ (SPN) vào tài khoản người dùng 'Postmaster' để kích hoạt xác thực Kerberos từ máy chủ email Giao tiếp. Dòng lệnh tôi đang sử dụng có dạng:
setspn -a imap/email-domain.com windows-domain\postmaster
Khi tôi chạy lệnh này, tôi nhận được kết quả:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Điều này gây tò mò nhất, vì tôi đăng nhập với tư cách là người dùng trong nhóm Quản trị viên tên miền. Tôi đã kiểm tra các đặc quyền hiệu quả cho tài khoản này và tôi không thể thấy bất kỳ đặc quyền nào không được bao gồm. Tôi cũng đã thử một tài khoản quản trị viên khác, với kết quả tương tự.
Để loại trừ nó, tôi cũng đã thêm Postmaster người dùng vào Quản trị viên tên miền, nhưng không thay đổi kết quả.
Tôi đang chạy lệnh này trực tiếp trên phiên bản Bộ điều khiển miền. Tôi có thể truy vấn SPN mà không gặp khó khăn gì, tôi dường như không thể viết chúng.
Tôi cũng đã cố sử dụng ktpass để gián tiếp đặt SPN cho người dùng mong muốn, nhưng nhận được cảnh báo:
WARNING: Unable to set SPN mapping data.
... mà tôi cho là một triệu chứng của cùng một vấn đề truy cập không đủ.
Điều gì có thể gây ra lỗi này?