Windows-Server-2008
使用 setspn.exe 創建 SPN - 訪問權限不足
在 Windown Server 2008 域控制器上,我嘗試將服務主體名稱 (SPN) 添加到使用者帳戶“Postmaster”,以便從 Communigate 電子郵件伺服器啟用 Kerberos 身份驗證。我使用的命令行是這樣的:
setspn -a imap/email-domain.com windows-domain\postmaster
當我執行這個命令時,我得到了結果:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation.
這很奇怪,因為我是作為域管理員組中的使用者登錄的。我檢查了這個帳戶的有效權限,我看不到任何不包括在內的權限。我還嘗試了不同的管理員帳戶,結果相同。
只是為了排除它,我還將使用者 Postmaster 添加到域管理員,但結果沒有改變。
我直接在域控制器實例上執行此命令。我可以毫無困難地查詢 SPN,但我似乎無法編寫它們。
我還嘗試使用 ktpass 間接設置所需使用者的 SPN,但收到警告:
WARNING: Unable to set SPN mapping data.
…我認為這是同樣的訪問不足問題的症狀。
什麼可能導致此錯誤?
您是否從提升的命令提示符執行(右鍵點擊,以管理員身份執行)?如果不是,那將解釋錯誤。