Windown Server 2008ドメインコントローラーで、Communigate電子メールサーバーからのKerberos認証を有効にするために、ユーザーアカウント 'Postmaster'にサービスプリンシパル名(SPN)を追加しようとしています。私が使用しているコマンドラインは次の形式です。
setspn -a imap/email-domain.com windows-domain\postmaster
このコマンドを実行すると、結果が得られます。
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
私はDomain Adminsグループのユーザーとしてログインしているので、これは最も興味深いものです。このアカウントの有効な権限を確認しましたが、含まれていない権限はありません。別の管理者アカウントも試しましたが、結果は同じでした。
除外するために、ユーザーPostmasterもDomain Adminsに追加しましたが、結果に変更はありません。
このコマンドをドメインコントローラーインスタンスで直接実行しています。SPNに問題なくクエリを実行できますが、SPNを記述できないようです。
また、ktpassを使用して目的のユーザーに間接的にSPNを設定しようとしましたが、警告が表示されました。
WARNING: Unable to set SPN mapping data.
...これは、同じ不十分なアクセス問題の症状だと思います。
このエラーの原因は何ですか?