AD FS 和禁用 IP 位址
Windows Server 2016 的 AD FS 引進禁用 IP,作為 AD FS 2018 年 6 月更新的一部分。 此更新可讓您在 AD FS 中全域設定一組 IP 位址,以便封鎖來自這些 IP 位址的要求。 AD FS 也會封鎖在 x-forwarded-for 或 x-ms-forwarded-client-ip 標頭中具有 IP 位址的要求。
新增禁用 IP
若要將禁用 IP 新增至全域清單,請使用下列 PowerShell Cmdlet:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
允許的格式如下所示:
- IPv4
- IPv6
- 使用 IPv4 或 v6 的 CIDR 格式
禁用 IP 位址的項目限制為 300 個。 您可以使用 CIDR 或範圍格式來拒絕具有單一項目的大型項目區塊。
移除禁用 IP
若要從全域清單中移除禁用 IP,請使用下列 PowerShell Cmdlet:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
讀取禁用 IP
若要讀取一組目前禁用 IP 位址,請使用下列 PowerShell Cmdlet:
PS C:\ >Get-AdfsProperties
範例輸出︰
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}