AADSTS7000222 — błąd BadRequest lub InvalidClientSecret
W tym artykule omówiono sposób identyfikowania i rozwiązywania błędu (BadRequestlub InvalidClientSecret) występującego AADSTS7000222 podczas próby utworzenia lub uaktualnienia klastra usługi Microsoft Azure Kubernetes Service (AKS).
Wymagania wstępne
Symptomy
Podczas próby utworzenia lub uaktualnienia klastra usługi AKS zostanie wyświetlony jeden z następujących komunikatów o błędach.
| Kod błędu | Komunikat |
|---|---|
BadRequest |
Poświadczenia w pliku ServicePrincipalProfile były nieprawidłowe. Aby uzyskać więcej informacji, zobacz https://aka.ms/aks-sp-help . (Szczegóły: adal: Żądanie odświeżenia nie powiodło się. Kod stanu = '401'. Treść odpowiedzi: {"error": "invalid_client", "error_description": "AADSTS7000222: Podane klucze tajne klienta dla aplikacji "<application-id>" wygasły. Odwiedź witrynę Azure Portal, aby utworzyć nowe klucze dla aplikacji: https://aka.ms/NewClientSecretlub rozważ użycie poświadczeń certyfikatu w celu zwiększenia bezpieczeństwa: https://aka.ms/certCreds." |
InvalidClientSecret |
Uwierzytelnianie klienta jest nieprawidłowe dla dzierżawy: <identyfikator dzierżawy>: biblioteka adal: żądanie odświeżania nie powiodło się. Kod stanu = '401'. Treść odpowiedzi: {"error": "invalid_client", "error_description": "AADSTS7000222: Podane klucze tajne klienta dla aplikacji "<application-id>" wygasły. Odwiedź witrynę Azure Portal, aby utworzyć nowe klucze dla aplikacji: https://aka.ms/NewClientSecretlub rozważ użycie poświadczeń certyfikatu w celu zwiększenia bezpieczeństwa: https://aka.ms/certCreds." |
Przyczyna
Problem, który generuje ten alert jednostki usługi, zwykle występuje z jednego z następujących powodów:
Wpis tajny klienta wygasł.
Podano nieprawidłowe poświadczenia.
Jednostka usługi nie istnieje w dzierżawie microsoft Entra ID subskrypcji.
Weryfikowanie przyczyny
Uruchom następujący kod interfejsu wiersza polecenia platformy Azure, aby pobrać profil jednostki usługi dla klastra usługi AKS i sprawdzić datę wygaśnięcia jednostki usługi:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Alternatywnie możesz sprawdzić, czy nazwa główna usługi i wpis tajny są poprawne i nie wygasły. W tym celu wykonaj następujące kroki:
W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Entra ID.
W okienku nawigacji identyfikatora Entra firmy Microsoft wybierz pozycję Rejestracje aplikacji.
Na karcie Aplikacje należące wybierz aplikację, której dotyczy problem.
Znajdź nazwę główną usługi i informacje o wpisie tajnym oraz sprawdź, czy informacje są poprawne i aktualne.
Rozwiązanie
W artykule Aktualizowanie lub obracanie poświadczeń klastra usługi AKS postępuj zgodnie z instrukcjami w jednej z następujących sekcji artykułu, zgodnie z potrzebami:
Korzystając z nowych poświadczeń jednostki usługi, postępuj zgodnie z instrukcjami w sekcji Aktualizowanie klastra AKS przy użyciu poświadczeń jednostki usługi w tym artykule.
Więcej informacji
- Używanie jednostki usługi z usługą Azure Kubernetes Service (AKS) (zwłaszcza w sekcji Rozwiązywanie problemów )
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.