共用方式為


AD FS 和禁用 IP 位址

Windows Server 2016 的 AD FS 引進禁用 IP,作為 AD FS 2018 年 6 月更新的一部分。 此更新可讓您在 AD FS 中全域設定一組 IP 位址,以便封鎖來自這些 IP 位址的要求。 AD FS 也會封鎖在 x-forwarded-forx-ms-forwarded-client-ip 標頭中具有 IP 位址的要求。

新增禁用 IP

若要將禁用 IP 新增至全域清單,請使用下列 PowerShell Cmdlet:

PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"

允許的格式如下所示:

  • IPv4
  • IPv6
  • 使用 IPv4 或 v6 的 CIDR 格式

禁用 IP 位址的項目限制為 300 個。 您可以使用 CIDR 或範圍格式來拒絕具有單一項目的大型項目區塊。

移除禁用 IP

若要從全域清單中移除禁用 IP,請使用下列 PowerShell Cmdlet:

PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"

讀取禁用 IP

若要讀取一組目前禁用 IP 位址,請使用下列 PowerShell Cmdlet:

PS C:\ >Get-AdfsProperties

範例輸出︰

BannedIpList                   : {1.2.3.4, ::3,1.2.3.4/16}

保護 Active Directory 同盟服務的最佳做法

Set-AdfsProperties

AD FS 操作