Beheben von Problemen mit der Registrierungsanmeldung

Dieser Artikel hilft Ihnen bei der Behebung von Problemen, die bei der Anmeldung bei einer Azure Container Registry auftreten können.

Symptome

Mindestens eines der folgenden Probleme kann ein Symptom sein:

• Anmeldung in der Registrierung mit docker login, az acr login oder beidem nicht möglich.
• Anmeldung bei der Registrierung ist nicht möglich, und Sie erhalten den Fehler unauthorized: authentication required oder unauthorized: Application not registered with AAD.
• Anmeldung bei der Registrierung ist nicht möglich, und Sie erhalten den Azure CLI-Fehler Could not connect to the registry login server.
• Images können nicht gepusht oder gepullt werden, und Sie erhalten den Docker-Fehler unauthorized: authentication required.
• Zugriff auf eine Registrierung mithilfe von az acr login nicht möglich, und Sie erhalten die Fehlermeldung CONNECTIVITY_REFRESH_TOKEN_ERROR. Access to registry was denied. Response code: 403. Unable to get admin user credentials with message: Admin user is disabled. Unable to authenticate using AAD or admin login credentials..
• Zugriff auf die Registrierung über Azure Kubernetes Service, Azure DevOps oder einen anderen Azure-Dienst ist nicht möglich.
• Auf die Registrierung kann nicht zugegriffen werden, und Sie erhalten den Fehler Error response from daemon: login attempt failed with status: 403 Forbidden (weitere Informationen finden Sie unter Beheben von Netzwerkproblemen mit der Registrierung).
• Der Zugriff auf oder das Anzeigen von Registrierungseinstellungen im Azure-Portal oder das Verwalten der Registrierung mithilfe der Azure CLI ist nicht möglich.

Ursachen

• Docker ist in Ihrer Umgebung nicht ordnungsgemäß: Lösung.
• Die Registrierung ist nicht vorhanden, oder der Name ist falsch: Lösung.
• Die Registrierungsanmeldeinformationen sind nicht gültig: Lösung.
• Der öffentliche Zugriff auf die Registrierung ist deaktiviert. Regeln für den Zugriff auf das öffentliche Netzwerk in der Registrierung verhindern den Zugriff (Lösung).
• Die Anmeldeinformationen sind für Push-, Pull- oder Azure Resource Manager-Vorgänge nicht autorisiert: Lösung.
• Die Anmeldeinformationen sind abgelaufen: Lösung.

Weitere Diagnose

Führen Sie den Befehl az acr check-health aus, um weitere Informationen zur Integrität der Registrierungsumgebung abzurufen und optional Zugriff auf eine Zielregistrierung zu erhalten. Beispielsweise können Sie Docker-Konfigurationsfehler oder Azure Microsoft Entra-Anmeldeprobleme diagnostizieren.

Befehlsbeispiele finden Sie unter Überprüfen der Integrität einer Azure Container Registry. Wenn Fehler gemeldet werden, überprüfen Sie die Fehlerreferenz und die folgenden Abschnitte für empfohlene Lösungen.

Folgen Sie den Anweisungen aus dem AKS-Supportdokument, wenn Sie keinen Pull für Images von ACR auf den AKS-Cluster ausführen können.

Hinweis

Einige Authentifizierungs- oder Autorisierungsfehler können auch auftreten, wenn es Firewall- oder Netzwerkkonfigurationen gibt, die Zugriff auf die Registrierung verhindern. Weitere Informationen finden Sie unter Beheben von Netzwerkproblemen mit der Registrierung.

Mögliche Lösungen

Überprüfen der Docker-Konfiguration

Die meisten Azure Container Registry-Authentifizierungsflows erfordern eine lokale Docker-Installation, damit Sie sich bei Ihrer Registrierung für Vorgänge wie das Pushen und Pullen von Images authentifizieren können. Vergewissern Sie sich, dass der Docker CLI-Client und -Daemon (Docker-Engine) in Ihrer Umgebung ausgeführt werden. Sie benötigen die Docker-Clientversion 18.03 oder höher.

Verwandte Links:

• Übersicht über die Authentifizierung
• Häufig gestellte Fragen (FAQ) zur Containerregistrierung

Angeben des richtigen Registrierungsnamens

Wenn Sie docker login verwenden, geben Sie den vollständigen Anmeldeservernamen der Registrierung an, z. B. myregistry.azurecr.io. Stellen Sie sicher, dass Sie nur Kleinbuchstaben verwenden. Beispiel:

docker login myregistry.azurecr.io

Wenn Sie az acr login mit einer Microsoft Entra-Identität verwenden, melden Sie sich zuerst bei der Azure CLI an, und geben Sie dann den Azure-Ressourcennamen der Registrierung an. Der Ressourcenname ist der Name, der beim Erstellen der Registrierung bereitgestellt wird, z. B. myregistry (ohne Domänensuffix). Beispiel:

az acr login --name myregistry

Verwandte Links:

• az acr login erfolgreich, aber für Docker tritt ein Fehler auf: "Nicht autorisiert: Authentifizierung erforderlich"

Bestätigen der Anmeldeinformationen für den Zugriff auf die Registrierung

Überprüfen Sie die Gültigkeit der Anmeldeinformationen, die Sie für Ihr Szenario verwenden, oder die für Sie von einem Registrierungsbesitzer bereitgestellt wurden. Einige mögliche Probleme:

• Wenn Sie einen Active Directory-Dienstprinzipal verwenden, stellen Sie sicher, dass Sie die richtigen Anmeldeinformationen im Active Directory-Mandanten verwenden:
  • User Name (Benutzername): Anwendungs-ID des Dienstprinzipals (auch als Client-ID bezeichnet)
  • Password (Kennwort): Kennwort des Dienstprinzipals (auch als geheimer Clientschlüssel bezeichnet)
• Wenn Sie einen Azure-Dienst wie Azure Kubernetes Service oder Azure DevOps für den Zugriff auf die Registrierung verwenden, bestätigen Sie die Registrierungskonfiguration für Ihren Dienst.
• Wenn Sie az acr login mit der --expose-token-Option ausgeführt haben, die die Registrierungsanmeldung ohne den Docker-Daemon ermöglicht, stellen Sie sicher, dass Sie sich mit dem Benutzernamen 00000000-0000-0000-0000-000000000000 authentifizieren.
• Wenn Ihre Registrierung für anonymen Pullzugriff konfiguriert ist, können vorhandene Docker-Anmeldeinformationen, die von einer früheren Docker-Anmeldung gespeichert wurden, den anonymen Zugriff verhindern. Führen Sie docker logout aus, bevor Sie einen anonymen Pullvorgang auf die Registrierung anwenden.

Verwandte Links:

• Übersicht über die Authentifizierung
• Individuelle Anmeldung mit Microsoft Entra ID
• Anmelden mit dem Dienstprinzipal
• Anmelden mit der verwalteten Identität
• Anmelden mit einem Token mit Repositorygültigkeitsbereich
• Anmelden mit dem Administratorkonto
• Microsoft Entra-Authentifizierungs- und -Autorisierungsfehlercodes
• az acr Login-Referenz

Bestätigen, dass die Anmeldeinformationen für den Zugriff auf die Registrierung autorisiert sind

Überprüfen Sie die Registrierungsberechtigungen, die mit den Anmeldeinformationen verknüpft sind, z. B. die Azure-Rolle AcrPull zum Pullen von Images aus der Registrierung und die Rolle AcrPush zum Pushen von Images.

Zugriff auf eine Registrierung im Portal oder die Registrierungsverwaltung über die Azure CLI erfordert mindestens die Rolle Reader oder entsprechende Berechtigungen, um Azure Resource Manager-Vorgänge auszuführen.

Wenn Ihre Berechtigungen vor Kurzem geändert wurden, um den Zugriff auf die Registrierung über das Portal zuzulassen, müssen Sie möglicherweise eine Inkognito- oder private Sitzung in Ihrem Browser verwenden, um Probleme aufgrund veralteter Browsercaches oder Cookies zu vermeiden.

Sie oder ein Registrierungsbesitzer müssen über ausreichende Berechtigungen im Abonnement verfügen, um Rollenzuweisungen hinzuzufügen oder zu entfernen.

Verwandte Links:

• Azure Container Registry: Rollen und Berechtigungen
• Anmelden mit einem Token mit Repositorygültigkeitsbereich
• Hinzufügen oder Entfernen von Azure-Rollenzuweisungen über das Azure-Portal
• Erstellen einer Microsoft Entra ID-Anwendung und eines Dienstprinzipals mit Ressourcenzugriff über das Portal
• Erstellen eines neuen Anwendungsgeheimnisses
• Microsoft Entra-Authentifizierungs- und -Autorisierungscodes

Überprüfen, ob Anmeldeinformationen abgelaufen sind

Token und Active Directory-Anmeldeinformationen können nach festgelegten Zeiträumen ablaufen und somit Registrierungszugriff verhindern. Zum Aktivieren des Zugriffs müssen Anmeldeinformationen möglicherweise zurückgesetzt oder neu generiert werden.

• Wenn eine einzelne AD-Identität, eine verwaltete Identität oder ein Dienstprinzipal für die Registrierungsanmeldung verwendet wird, läuft das AD-Token nach 3 Stunden ab. Melden Sie sich erneut bei der Registrierung an.
• Wenn Sie einen AD-Dienstprinzipal mit einem abgelaufenen geheimen Clientschlüssel verwenden, muss ein Abonnementbesitzer oder Kontoadministrator Anmeldeinformationen zurücksetzen oder einen neuen Dienstprinzipal generieren.
• Bei Verwendung eines Tokens mit Repositorygültigkeitsbereich muss ein Registrierungsbesitzer möglicherweise ein Kennwort zurücksetzen oder ein neues Token generieren.

Verwandte Links:

• Zurücksetzen von Anmeldeinformationen für Dienstprinzipal
• Erneutes Generieren von Tokenkennwörtern
• Individuelle Anmeldung mit Microsoft Entra ID

Erweiterte Problembehandlung

Wenn die Sammlung mit Ressourcenprotokollen in der Registrierung aktiviert ist, sollten Sie das Protokoll „ContainerRegistryLoginEvents“ überprüfen. In diesem Protokoll werden Registrierungauthentifizierungsereignisse und der -status gespeichert, einschließlich der eingehenden Identität und IP-Adresse. Fragen Sie das Protokoll nach Authentifizierungsfehlern für die Registrierung ab.

Verwandte Links:

• Protokolle für die Diagnoseauswertung und -überwachung
• Häufig gestellte Fragen (FAQ) zur Containerregistrierung
• Bewährte Methoden für Azure Container Registry

Nächste Schritte

Wenn Sie Ihr Problem hier nicht lösen können, sehen Sie sich die folgenden Optionen an.

• Weitere Themen zur Problembehandlung für die Registrierung sind:
  • Beheben von Netzwerkproblemen mit der Registrierung
  • Beheben von Problemen mit der Registrierungsleistung
• Optionen für Support durch die Community
• Microsoft Q&A
• Öffnen eines Supporttickets: Basierend auf den von Ihnen bereitgestellten Informationen kann eine schnelle Diagnose für Authentifizierungsfehler in Ihrer Registrierung ausgeführt werden.