AD FS 和禁止 IP 地址
Windows Server 2016 上的 AD FS 在 2018 年 6 月的 AD FS 更新中引入了“禁止 IP”。 此更新使你能够在 AD FS 中全局配置一组 IP 地址,以便阻止来自这些 IP 地址的请求。 AD FS 也会阻止在 x-forwarded-for 或 x-ms-forwarded-client-ip 标头中具有 IP 地址的请求。
添加禁止 IP
若要将禁止 IP 添加到全局列表,请使用下面的 PowerShell cmdlet:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
允许的格式如下所示:
- IPv4
- IPv6
- IPv4 或 v6 的 CIDR 格式
禁止 IP 地址最多只能有 300 个条目。 使用 CIDR 或范围格式,可以通过单个条目来拒绝大量条目。
删除禁止 IP
若要从全局列表中删除禁止 IP,请使用下面的 PowerShell cmdlet:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
读取禁止 IP
若要读取禁止 IP 地址的最新集合,请使用下面的 PowerShell cmdlet:
PS C:\ >Get-AdfsProperties
示例输出:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}