Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Sammanfattning
Den här artikeln beskriver hur du identifierar och löser felet AADSTS7000222 (BadRequest eller InvalidClientSecret) som uppstår när du försöker skapa eller uppgradera ett AkS-kluster (Azure Kubernetes Service).
Förutsättningar
Symptome
När du försöker skapa eller uppgradera ett AKS-kluster får du något av följande felmeddelanden.
| Felkod | Meddelande |
|---|---|
BadRequest |
Autentiseringsuppgifterna i ServicePrincipalProfile var ogiltiga. Se https://aka.ms/aks-sp-help för mer information. (Information: adal: Uppdateringsbegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure-portalen för att skapa nya nycklar för din app: https://aka.ms/NewClientSecreteller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds. |
InvalidClientSecret |
Kundautentiseringen är inte giltig för hyresgästen: <tenant-id>: adal: Förnyelsebegäran misslyckades. Statuskod = '401'. Svarstext: {"error": "invalid_client", "error_description": "AADSTS7000222: De angivna klienthemlighetsnycklarna för appen "<application-id>" har upphört att gälla. Gå till Azure-portalen för att skapa nya nycklar för din app: https://aka.ms/NewClientSecreteller överväg att använda certifikatautentiseringsuppgifter för extra säkerhet: https://aka.ms/certCreds. |
Orsak
Problemet som genererar denna tjänsteavisering inträffar vanligtvis av någon av följande orsaker:
Klienthemligheten har upphört att gälla.
Felaktiga autentiseringsuppgifter angavs.
Tjänstens huvudnamn finns inte i prenumerationens Microsoft Entra-ID-klientorganisation.
Kontrollera orsaken
Kör följande Azure CLI-kod för att hämta tjänstens huvudnamnsprofil för ditt AKS-kluster och kontrollera förfallodatumet för tjänstens huvudnamn:
SP_ID=$(az aks show --resource-group <rg-name> \
--name <aks-cluster-name> \
--query servicePrincipalProfile.clientId \
--output tsv)
az ad app credential list --id "$SP_ID"
Du kan också kontrollera att tjänstens huvudnamn och hemlighet är korrekta och inte har upphört att gälla. Gör detta genom att följa dessa steg:
I Azure Portal söker du efter och väljer Microsoft Entra-ID.
I navigeringsfönstret i Microsoft Entra-ID väljer du Appregistreringar.
På fliken Ägda program väljer du det berörda programmet.
Leta upp tjänstens huvudnamn och hemlig information och kontrollera att informationen är korrekt och aktuell.
Lösning
I artikeln Uppdatera eller rotera autentiseringsuppgifterna för ett AKS-kluster följer du anvisningarna i något av följande artikelavsnitt efter behov:
Följ anvisningarna i avsnittet Uppdatera AKS-kluster med autentiseringsuppgifter för tjänstens huvudnamn i den artikeln med hjälp av dina nya autentiseringsuppgifter för tjänstens huvudnamn.
Mer information
- Använda tjänstens huvudnamn med Azure Kubernetes Service (AKS) ( särskilt avsnittet Felsökning )