AADSTS7000222: BadRequest- oder InvalidClientSecret-Fehler
In diesem Artikel wird erläutert, wie Sie den Fehler (BadRequest oder InvalidClientSecret) identifizieren und beheben, der AADSTS7000222 beim Erstellen oder Aktualisieren eines AKS-Clusters (Microsoft Azure Kubernetes Service) auftritt.
Voraussetzungen
Problembeschreibung
Wenn Sie versuchen, einen AKS-Cluster zu erstellen oder zu aktualisieren, wird eine der folgenden Fehlermeldungen angezeigt.
| Fehlercode | Nachricht |
|---|---|
BadRequest |
Die Anmeldeinformationen in ServicePrincipalProfile waren ungültig. Weitere Informationen finden Sie unter https://aka.ms/aks-sp-help . (Details: adal: Fehler bei der Aktualisierungsanforderung. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<application-id>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder ziehen Sie die Verwendung von Zertifikatanmeldeinformationen für zusätzliche Sicherheit in Betracht: https://aka.ms/certCreds." |
InvalidClientSecret |
Die Kundenauthentifizierung ist nicht gültig für mandant: <mandanten-id>: adal: Fehler bei der Aktualisierungsanforderung. Statuscode = '401'. Antworttext: {"error": "invalid_client", "error_description": "AADSTS7000222: Die bereitgestellten geheimen Clientschlüssel für die App "<application-id>" sind abgelaufen. Besuchen Sie die Azure-Portal, um neue Schlüssel für Ihre App zu erstellen: https://aka.ms/NewClientSecret, oder ziehen Sie die Verwendung von Zertifikatanmeldeinformationen für zusätzliche Sicherheit in Betracht: https://aka.ms/certCreds." |
Ursache
Das Problem, das diese Dienstprinzipalwarnung generiert, tritt in der Regel aus einem der folgenden Gründe auf:
Der geheime Clientschlüssel ist abgelaufen.
Falsche Anmeldeinformationen wurden angegeben.
Der Dienstprinzipal ist im Microsoft Entra ID Mandanten des Abonnements nicht vorhanden.
Überprüfen der Ursache
Führen Sie den folgenden Azure CLI-Code aus, um das Dienstprinzipalprofil für Ihren AKS-Cluster abzurufen und das Ablaufdatum des Dienstprinzipals zu überprüfen:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Alternativ können Sie überprüfen, ob der Dienstprinzipalname und das Geheimnis korrekt und nicht abgelaufen sind. Gehen Sie dazu wie folgt vor:
Suchen Sie im Azure Portal nach Microsoft Entra ID und wählen Sie diese aus.
Wählen Sie im Navigationsbereich von Microsoft Entra ID App-Registrierungen aus.
Wählen Sie auf der Registerkarte Eigene Anwendungen die betroffene Anwendung aus.
Suchen Sie den Dienstprinzipalnamen und die Geheimnisinformationen, und überprüfen Sie, ob die Informationen korrekt und aktuell sind.
Lösung
Befolgen Sie im Artikel Aktualisieren oder Rotieren der Anmeldeinformationen für einen AKS-Cluster die Anweisungen in einem der folgenden Artikelabschnitte.
Befolgen Sie die Anweisungen im Abschnitt Aktualisieren des AKS-Clusters mit Dienstprinzipalanmeldeinformationen dieses Artikels, indem Sie Ihre neuen Anmeldeinformationen für den Dienstprinzipal verwenden.
Weitere Informationen
- Verwenden eines Dienstprinzipals mit Azure Kubernetes Service (AKS) (insbesondere im Abschnitt "Problembehandlung")
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für