SPN mit setspn.exe erstellen - Unzureichende Zugriffsrechte

8

Auf einem Windows Server 2008-Domänencontroller versuche ich, einem Benutzerkonto 'Postmaster' einen Service Principal Name (SPN) hinzuzufügen, um die Kerberos-Authentifizierung von einem Communigate-E-Mail-Server aus zu aktivieren. Die Befehlszeile, die ich verwende, hat folgende Form:

setspn -a imap/email-domain.com windows-domain\postmaster

Wenn ich diesen Befehl ausführe, erhalte ich das Ergebnis:

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

Dies ist sehr merkwürdig, da ich als Benutzer in der Gruppe Domain Admins angemeldet bin. Ich habe die effektiven Berechtigungen für dieses Konto überprüft und kann keine sehen, die nicht enthalten sind. Ich habe auch ein anderes Administratorkonto ausprobiert, mit dem gleichen Ergebnis.

Um dies auszuschließen, habe ich auch den Benutzer Postmaster zu Domain Admins hinzugefügt, aber keine Änderung am Ergebnis.

Ich führe diesen Befehl direkt auf der Domänencontrollerinstanz aus. Ich kann SPNs problemlos abfragen, ich kann sie einfach nicht schreiben.

Ich habe auch versucht, mit ktpass indirekt den SPN für den gewünschten Benutzer festzulegen, erhielt jedoch eine Warnung:

WARNING: Unable to set SPN mapping data.

... was ich für ein Symptom des gleichen Problems mit unzureichendem Zugriff halte.

Was könnte diesen Fehler verursachen?

kbluck
quelle

Antworten:

10

Führen Sie eine Eingabeaufforderung mit erhöhten Rechten aus (Rechtsklick, Als Administrator ausführen)? Wenn nicht, würde dies den Fehler erklären.

K. Brian Kelley
quelle
Vielen Dank. Ich lief einfach alte cmd.exe. Das Ausführen von Powershell als Administrator hat tatsächlich funktioniert.
Kbluck
1
Die Hauptursache des Problems ist laut Scott Lowe die Benutzerzugriffskontrolle. blog.scottlowe.org/2007/07/09/uac-and-ktpassexe
kbluck
2
Ja, dies wird Sie auch in Vista / Windows 7 beißen. Und es wird Dinge treffen, an die Sie vielleicht nicht denken, wie die Verwendung von ipconfig, um etwas anderes zu tun als die IP-Konfiguration aufzulisten.
K. Brian Kelley