Windows Server 2016 上的 AD FS 作为 AD FS 2018 年 6 月更新的一部分引入了 禁止 IP 。 通过此更新,你可以在 AD FS 中全局配置一组 IP 地址,以便阻止来自这些 IP 地址的请求。 AD FS 也会阻止在 x-forwarded-for 或 x-ms-forwarded-client-ip 标头中包含 IP 地址的请求。
添加受禁 IP
若要将禁止 IP 添加到全局列表,请使用以下 PowerShell cmdlet:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
允许的格式如下所示:
- IPv4
- IPv6
- 使用 IPv4 或 v6 的 CIDR 格式
禁止 IP 地址的条目限制为 300 个。 可以使用 CIDR 或范围格式来拒绝包含单个条目的大型条目块。
删除被禁止的 IP
若要从全局列表中删除禁止 IP,请使用以下 PowerShell cmdlet:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
读取被禁止的 IP 地址
若要读取当前禁止 IP 地址集,请使用以下 PowerShell cmdlet:
PS C:\ >Get-AdfsProperties
示例输出:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}