Freigeben über


AADSTS7000222: Fehler „BadRequest“ oder „InvalidClientSecret“

In diesem Artikel wird erläutert, wie Sie den Fehler (BadRequest oder InvalidClientSecret) identifizieren und beheben, der AADSTS7000222 auftritt, wenn Sie versuchen, einen Microsoft Azure Kubernetes Service (AKS)-Cluster zu erstellen oder zu aktualisieren.

Voraussetzungen

Symptome

Wenn Sie versuchen, einen AKS-Cluster zu erstellen oder zu aktualisieren, erhalten Sie eine der folgenden Fehlermeldungen.

Fehlercode Nachricht
BadRequest Die Anmeldeinformationen in ServicePrincipalProfile waren ungültig. Ausführliche Informationen finden Sie unter https://aka.ms/aks-sp-help. (Details: adal: Aktualisierungsanforderung fehlgeschlagen. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<Anwendungs-ID>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder erwägen Sie die Verwendung von Zertifikatanmeldeinformationen für die hinzugefügte Sicherheit: https://aka.ms/certCreds."
InvalidClientSecret Die Kundenauthentifizierung ist für den Mandanten ungültig: <Mandanten-ID>: adal: Aktualisierungsanforderung fehlgeschlagen. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<Anwendungs-ID>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder erwägen Sie die Verwendung von Zertifikatanmeldeinformationen für die hinzugefügte Sicherheit: https://aka.ms/certCreds."

Ursache

Das Problem, das diese Dienstprinzipalwarnung generiert, tritt in der Regel aus einem der folgenden Gründe auf:

  • Der geheime Clientschlüssel ist abgelaufen.

  • Falsche Anmeldeinformationen wurden bereitgestellt.

  • Der Dienstprinzipal ist im Microsoft Entra ID-Mandanten des Abonnements nicht vorhanden.

Überprüfen der Ursache

Führen Sie den folgenden Azure CLI-Code aus, um das Dienstprinzipalprofil für Ihren AKS-Cluster abzurufen und das Ablaufdatum des Dienstprinzipals zu überprüfen:

SP_ID=$(az aks show --resource-group <rg-name> \
    --name <aks-cluster-name> \
    --query servicePrincipalProfile.clientId \
    --output tsv)
az ad app credential list --id "$SP_ID"

Alternativ können Sie überprüfen, ob der Dienstprinzipalname und der geheime Schlüssel korrekt sind und nicht abgelaufen sind. Gehen Sie dazu wie folgt vor:

  1. Suchen Sie im Azure Portal nach Microsoft Entra ID und wählen Sie diese aus.

  2. Wählen Sie im Navigationsbereich der Microsoft Entra-ID App-Registrierungen aus.

  3. Wählen Sie auf der Registerkarte "Eigene Anwendungen " die betroffene Anwendung aus.

  4. Suchen Sie den Dienstprinzipalnamen und geheimen Informationen, und stellen Sie sicher, dass die Informationen korrekt und aktuell sind.

Lösung

  1. Folgen Sie den Anweisungen in einem der folgenden Artikelabschnitte im Update oder Drehen der Anmeldeinformationen für einen AKS-Clusterartikel entsprechend:

  2. Befolgen Sie die Anweisungen im Update-AKS-Cluster mit Dienstprinzipalanmeldeinformationen in diesem Artikel mithilfe Ihrer neuen Dienstprinzipalanmeldeinformationen .

Weitere Informationen

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.