setspn.exeでSPNを作成する-アクセス権が不十分

Windown Server 2008ドメインコントローラーで、Communigate電子メールサーバーからのKerberos認証を有効にするために、ユーザーアカウント 'Postmaster'にサービスプリンシパル名（SPN）を追加しようとしています。私が使用しているコマンドラインは次の形式です。

setspn -a imap/email-domain.com windows-domain\postmaster

このコマンドを実行すると、結果が得られます。

Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com
    imap/email-domain.com
Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 ->
Insufficient access rights to perform the operation.

私はDomain Adminsグループのユーザーとしてログインしているので、これは最も興味深いものです。このアカウントの有効な権限を確認しましたが、含まれていない権限はありません。別の管理者アカウントも試しましたが、結果は同じでした。

除外するために、ユーザーPostmasterもDomain Adminsに追加しましたが、結果に変更はありません。

このコマンドをドメインコントローラーインスタンスで直接実行しています。 SPNに問題なくクエリを実行できます。SPNを記述できないようです。

また、ktpassを使用して間接的に目的のユーザーにSPNを設定しようとしましたが、警告が表示されました。

WARNING: Unable to set SPN mapping data.

...これは、同じ不十分なアクセス問題の症状だと思います。

このエラーの原因は何ですか？