Наша среда требует, чтобы наш шлюз RDS Windows Server 2019 (с установленным на нем веб-клиентом HTML 5) находился за веб-прокси nginx. Часть веб-сайта работает нормально, но соединение обрывается при попытке подключить приложение сеанса терминала RDS в веб-клиенте HTML 5. Использование клиента RDS работает нормально.
Вот наша установка:
На стороне клиента мы получаем ошибку в веб-браузере:
The connection to the remote PC was lost
В консоли веб-инспектора мы видим ошибку о невозможности установить соединение с веб-сокетом:
Gateway channel creation failed with error code=2147965402
и
Could not connect to wss://remote.domain.com/remotedesktopgateway/...
Есть ли у кого-нибудь представление о том, что мы можем сделать, чтобы исправить это, чтобы мы могли получить доступ к нашим приложениям RDS через веб-клиент?
Кажется, я не могу найти никакой документации по этому поводу, чтобы узнать, что именно требуется серверу веб-клиента HTML 5. К сожалению, удаление обратного веб-прокси невозможно.
Я наконец понял это, исправляя другую проблему: проблема была вызвана чрезмерно ограничительным заголовком Content-Security-Policy, добавленным обратным прокси-сервером nginx.
Раньше заголовок имел только default-src; теперь у него есть image-src и media-src, чтобы разрешить типы данных data: и blob :. Это заголовок, который работает в настоящее время (вероятно, чрезмерно разрешительный, но он работает, пока мы не сможем его просмотреть дальше):
default-src * data: 'unsafe-eval' 'unsafe-inline'; img-src * data: blob:; media-src * data: blob:
Вот соответствующая конфигурация nginx (со всем остальным тоже):
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name remote.example.com;
# SSL
ssl_certificate /path/to/ssl/fullchain.pem;
ssl_certificate_key /path/to/ssl/privkey.pem;
ssl_trusted_certificate /path/to/ssl/chain.pem;
# reverse proxy
location / {
### IP address is permissible here
proxy_pass https://gateway.corp.domain.com:443/;
include conf.d/proxy.part;
}
# security headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block;" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
### This is the header referenced above ###
add_header Content-Security-Policy "default-src * data: 'unsafe-eval' 'unsafe-inline'; img-src * data: blob:; media-src * data: blob:" always;
add_header X-Robots-Tag none;
add_header X-Download-Options noopen;
add_header X-Permitted-Cross-Domain-Policies none;
### Be careful with this header; this will cause your site to break if it ever stops serving over TLS
add_header Strict-Transport-Security "max-age=15552000; includeSubDomains";
# . files
location ~ /\. {
deny all;
}
# gzip
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css text/xml application/json application/javascript application/xml+rss application/atom+xml image/svg+xml;
}
Я также включил правило перезаписи IIS на сервере RDS для автоматической перезаписи пути к веб-клиенту (например, remote.example.com к remote.example.com/rdweb/webclient), хотя это можно сделать и в nginx.