在Windown Server 2008域控制器上,我正在尝试将服务主体名称(SPN)添加到用户帐户“Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份验证.我正在使用的命令行具有以下形式：

setspn -a imap/email-domain.com windows-domain\postmaster

当我运行此命令时,我得到结果：

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,DC=com',error 0x2098/8344 ->
Insufficient access rights to perform the operation.

这是最奇怪的,因为我以Domain Admins组中的用户身份登录.我检查了此帐户的有效权限,但我看不到任何未包含的权限.我也尝试了不同的管理员帐户,结果相同.

为了排除它,我还将用户Postmaster添加到Domain Admins,但结果没有变化.

我直接在域控制器实例上运行此命令.我能够毫无困难地查询SPN,我似乎无法写出它们.

我还尝试使用ktpass在所需用户上间接设置SPN,但收到警告：

WARNING: Unable to set SPN mapping data.

…我假设是同样的访问不足问题的症状.

可能导致此错误的原因是什么？