AADSTS7000222: Fehler „BadRequest“ oder „InvalidClientSecret“
In diesem Artikel wird erläutert, wie Sie den Fehler (BadRequest
oder InvalidClientSecret
) identifizieren und beheben, der AADSTS7000222
auftritt, wenn Sie versuchen, einen Microsoft Azure Kubernetes Service (AKS)-Cluster zu erstellen oder zu aktualisieren.
Voraussetzungen
Symptome
Wenn Sie versuchen, einen AKS-Cluster zu erstellen oder zu aktualisieren, erhalten Sie eine der folgenden Fehlermeldungen.
Fehlercode | Nachricht |
---|---|
BadRequest |
Die Anmeldeinformationen in ServicePrincipalProfile waren ungültig. Ausführliche Informationen finden Sie unter https://aka.ms/aks-sp-help. (Details: adal: Aktualisierungsanforderung fehlgeschlagen. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<Anwendungs-ID>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder erwägen Sie die Verwendung von Zertifikatanmeldeinformationen für die hinzugefügte Sicherheit: https://aka.ms/certCreds." |
InvalidClientSecret |
Die Kundenauthentifizierung ist für den Mandanten ungültig: <Mandanten-ID>: adal: Aktualisierungsanforderung fehlgeschlagen. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<Anwendungs-ID>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder erwägen Sie die Verwendung von Zertifikatanmeldeinformationen für die hinzugefügte Sicherheit: https://aka.ms/certCreds." |
Ursache
Das Problem, das diese Dienstprinzipalwarnung generiert, tritt in der Regel aus einem der folgenden Gründe auf:
Der geheime Clientschlüssel ist abgelaufen.
Falsche Anmeldeinformationen wurden bereitgestellt.
Der Dienstprinzipal ist im Microsoft Entra ID-Mandanten des Abonnements nicht vorhanden.
Überprüfen der Ursache
Führen Sie den folgenden Azure CLI-Code aus, um das Dienstprinzipalprofil für Ihren AKS-Cluster abzurufen und das Ablaufdatum des Dienstprinzipals zu überprüfen:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Alternativ können Sie überprüfen, ob der Dienstprinzipalname und der geheime Schlüssel korrekt sind und nicht abgelaufen sind. Gehen Sie dazu wie folgt vor:
Suchen Sie im Azure Portal nach Microsoft Entra ID und wählen Sie diese aus.
Wählen Sie im Navigationsbereich der Microsoft Entra-ID App-Registrierungen aus.
Wählen Sie auf der Registerkarte "Eigene Anwendungen " die betroffene Anwendung aus.
Suchen Sie den Dienstprinzipalnamen und geheimen Informationen, und stellen Sie sicher, dass die Informationen korrekt und aktuell sind.
Lösung
Folgen Sie den Anweisungen in einem der folgenden Artikelabschnitte im Update oder Drehen der Anmeldeinformationen für einen AKS-Clusterartikel entsprechend:
Befolgen Sie die Anweisungen im Update-AKS-Cluster mit Dienstprinzipalanmeldeinformationen in diesem Artikel mithilfe Ihrer neuen Dienstprinzipalanmeldeinformationen .
Weitere Informationen
- Verwenden eines Dienstprinzipals mit Azure Kubernetes Service (AKS) (insbesondere im Abschnitt "Problembehandlung ")
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.