AD FS und gesperrte IP-Adressen
In AD FS unter Windows Server 2016 wurden im Rahmen des AD FS-Updates vom Juni 2018 gesperrte IP-Adressen eingeführt. Dieses Update ermöglicht es Ihnen, IP-Adressen global in AD FS so zu konfigurieren, dass Anforderungen von diesen IP-Adressen blockiert werden. Anforderungen mit IP-Adressen im Header x-forwarded-for oder x-ms-forwarded-client-ip werden ebenfalls von AD FS blockiert.
Hinzufügen gesperrter IP-Adressen
Verwenden Sie das folgende PowerShell-Cmdlet, um der globalen Liste gesperrte IP-Adressen hinzuzufügen:
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
Zulässige Formate:
- IPv4
- IPv6
- CIDR-Format mit IPv4 oder v6
Es gibt einen Grenzwert von 300 Einträgen für gesperrte IP-Adressen. Sie können CIDR oder das Bereichsformat verwenden, um einen großen Block von Einträgen mit einem einzelnen Eintrag zu sperren.
Entfernen gesperrter IP-Adressen
Verwenden Sie das folgende PowerShell-Cmdlet, um gesperrte IP-Adressen aus der globalen Liste zu entfernen:
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
Lesen gesperrter IP-Adressen
Verwenden Sie das folgende PowerShell-Cmdlet, um die aktuelle Gruppe gesperrter IP-Adressen zu lesen:
PS C:\ >Get-AdfsProperties
Beispielausgabe:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}
Verwandte Links
Best Practices zum Sichern von Active Directory-Verbunddiensten (AD FS)