AD FS 및 금지된 IP 주소
Windows Server 2016의 AD FS는 AD FS 2018년 6월 업데이트의 일부로 금지된 IP를 도입했습니다. 이 업데이트를 사용하면 해당 IP 주소에서 들어오는 요청이 차단되도록 AD FS에서 전역적으로 IP 주소 집합을 구성할 수 있습니다. x-forwarded-for 또는 x-ms-forwarded-client-ip 헤더에 IP 주소가 있는 요청도 AD FS에 의해 차단됩니다.
금지된 IP 추가
전역 목록에 금지된 IP를 추가하려면 다음 PowerShell cmdlet을 사용합니다.
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
허용된 형식은 다음과 같습니다.
- IPv4
- IPv6
- IPv4 또는 v6을 사용한 CIDR 형식
금지된 IP 주소에 대한 항목은 300개로 제한됩니다. CIDR 또는 범위 형식을 사용하여 단일 항목이 있는 큰 항목 블록을 거부할 수 있습니다.
금지된 IP 제거
전역 목록에서 금지된 IP를 제거하려면 다음 PowerShell cmdlet을 사용합니다.
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
금지 IP 읽기
현재 금지된 IP 주소 집합을 읽으려면 다음 PowerShell cmdlet을 사용합니다.
PS C:\ >Get-AdfsProperties
예제 출력:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}