En un controlador de dominio de Windown Server 2008, intento agregar un nombre principal de servicio (SPN) a una cuenta de usuario 'Postmaster' para habilitar la autenticación Kerberos desde un servidor de correo electrónico de Communigate. La línea de comando que estoy usando tiene la forma:
setspn -a imap/email-domain.com windows-domain\postmaster
Cuando ejecuto este comando, obtengo el resultado:
Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.
Esto es muy curioso, ya que he iniciado sesión como usuario en el grupo Administradores de dominio. Verifiqué los privilegios efectivos para esta cuenta y no puedo ver ninguno que no esté incluido. También probé una cuenta de administrador diferente, con el mismo resultado.
Solo para descartarlo, también agregué el usuario Postmaster a los Administradores de dominio, pero no cambié el resultado.
Estoy ejecutando este comando directamente en la instancia del controlador de dominio. Puedo consultar SPN sin dificultad, parece que no puedo escribirlos.
También intenté usar ktpass para establecer indirectamente el SPN en el usuario deseado, pero recibí una advertencia:
WARNING: Unable to set SPN mapping data.
... que supongo es un síntoma del mismo problema de acceso insuficiente.
¿Qué podría estar causando este error?