Exchange RPC-verkeer analyseren via TCP/IP

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 159298 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Met Exchange Server moet u soms lezen en analyseren sniffer sporen bij het oplossen van de communicatie van server naar server en client-naar- servercommunicatie. In dit artikel wordt de RPC-sniffs tussen verschillende Exchange Server-services.

Meer informatie

Einde punt Mapper

Begrijpen van de verschillende fasen van een RPC-Client doorloopt om verbinding maken met een bepaalde service, moeten we eerst begrijpen hoe de afstandsbediening Procedure Call (RPC) Service', ook bekend als de eindpunt-Mapper helpt de quest UUID voor service Exchange. De einde-punt-Mapper een groot aantal taken worden uitgevoerd, maar wij zijn geïnteresseerd in een is de mogelijkheid om het poortnummer zijn we op zoek naar service luistert op ons. De UUID gewoonlijk wordt ingedeeld door de eerste twee tekens voor Microsoft Exchange 4.0 en 5.0:
A4 - ARCHIEF
F5 - DIRECTORY
E1 - ENDPOINT MAPPER
We nemen in het volgende voorbeeld waar ExchangeA Server wil verzenden een bericht ExchangeB-server (ExchangeA en ExchangeB zijn in dezelfde site het mechanisme is daarom RPC en is in dit geval via (TCP/IP).

Allereerst ExchangeA moet doen is het eindpunt van de query ExchangeB Mapper vinden waar de MTA luistert. De reden hiervoor is de poort het nummer dat elke Exchange-service luistert kunt op latere wijzigen opstarten. Het eindpunt Mapper is verantwoordelijk voor het bijhouden van welke luistert op welk punt. Wanneer een Exchange-service wordt gestart, registreert deze zelf met de Mapper eindpunt en wordt u gevraagd de Mapper eindpunt toe te wijzen een poortnummer. Het eindpunt Mapper luistert altijd op poort 135 voor TCP/IP- en het eindpunt Mapper UUID is (E1AF8308-5D1F-11C9-91A4-08002B14A0FA).

De volgende 11 frames weergeven in het volledige gesprek tussen ExchangeA (op poort 3464) en ExchangeB van eindpunt Mapper (op poort 135):
1. TCP: ....S., len:    4, seq: 562005063-562005066, ack:         0, win:
   8192, src: 3464  dst:  135

2. TCP: .A..S., len:    4, seq: 875064831-875064834, ack: 562005064, win:
   8760, src:  135  dst: 3464

3. TCP: .A...., len:    0, seq: 562005064-562005064, ack: 875064832, win:
   8760, src: 3464  dst:  135

4. MSRPC: c/o RPC Bind:         UUID E1AF8308-5D1F-11C9-91A4-08002B14A0FA
   call 0x54004E  assoc grp 0x0  xmit 0x16D0  recv 0x16D0

5. MSRPC: c/o RPC Bind Ack:     call 0x54004E  assoc grp 0x33CFA  xmit
   0x16D0  recv 0x16D0

6. MSRPC: c/o RPC Request:      call 0x1  opnum 0x3  context 0x0  hint
   0x84

7. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x80  cancels
   0x0

8. TCP: .A...F, len:    0, seq: 562005292-562005292, ack: 875065044, win:
   8548, src: 3464  dst:  135

9. TCP: .A...., len:    0, seq: 875065044-875065044, ack: 562005293, win:
   8532, src:  135  dst: 3464

10. TCP: .A...F, len:    0, seq: 875065044-875065044, ack: 562005293, win:
   8532, src:  135  dst: 3464

11. TCP: .A...., len:    0, seq: 562005293-562005293, ack: 875065045, win:
   8548, src: 3464  dst:  135
				

Frame 1 - ExchangeA wordt een Syn-pakket verzendt naar ExchangeB.

Frame 2 - ExchangeB erkent het pakket met een SynAck-pakket.

Kader 3 - ExchangeA stuurt een acknowledge van de SynAck. We hebben nu een TCP-verbinding tussen ExchangeA en ExchangeB.

Kader 4 - ExchangeA is tot ExchangeB van eindpunt Mapper bindend. We weten dit door de UUID-waarde (E1AF8308-5D1F-11C9-91A4-08002B14A0FA) is de binding verzenden naar en door de zomertijd: poortnummer.

Kader 5 - ExchangeB erkent de binding met een BindAck. We hebben nu een RPC-verbinding tussen ExchangeA en ExchangeB van eindpunt Mapper.

Kader 6 - ExchangeA stuurt een RPC-verzoek van opnum 0x3 aan ExchangeB langs met de UUID van de service wordt gezocht (in dit geval is ExchangeB de MTA). Dit is het poortnummer van de service met de bijbehorende UUID.

Kader 7 - ExchangeB geeft de poort nummer dat de service die overeenkomt met Deze UUID luistert. ExchangeA heeft nu alle benodigde informatie de MTA vinden op ExchangeB.

Frames van 8 tot en met 11 - sluiten de TCP-verbinding tussen ExchangeA en ExchangeB.

Nu dat de ExchangeA weet het poortnummer moet verbinding maken met de ExchangeB MTA. Een belangrijke opmerking hier is dat de Exchange MTA heeft een RPC-binding enigszins anders dan de meeste RPC gebonden. Voert een tweerichtings-handshake betekenis, niet alleen heeft ExchangeA binden aan ExchangeB maar ExchangeB moet binden. ExchangeA voor berichten kan worden verzonden. Daarom moet er een BIND, gevolgd door een BindAck een ander afhankelijk van de andere server worden gevolgd door een andere BindAck als geïllustreerde hieronder.
1. TCP: ....S., len:    4, seq: 562005113-562005116, ack:         0, win:
   8192, src: 3470  dst: 4764

2. TCP: .A..S., len:    4, seq: 875064881-875064884, ack: 562005114, win:
   8760, src: 4764  dst: 3470

3. TCP: .A...., len:    0, seq: 562005114-562005114, ack: 875064882, win:
   8760, src: 3470  dst: 4764

4. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE
   call 0x1EBE80  assoc grp 0x0  xmit 0x16D0  recv 0x16D0

5. MSRPC: c/o RPC Bind Ack:     call 0x1EBE80  assoc grp 0x3150EAC1  xmit
   0x16D0  recv 0x16D0

6. TCP: .AP..., len:  206, seq: 562005250-562005455, ack: 875064990, win:
   8652, src: 3470  dst: 4764

7. MSRPC: c/o RPC Request:      call 0x1  opnum 0x0  context 0x0  hint
   0x11E

8. TCP: .A...., len:    0, seq: 875064990-875064990, ack: 562005792, win:
    8082, src: 4764  dst: 3470

9. TCP: ....S., len:    4, seq: 875064951-875064954, ack:         0, win:
    8192, src: 1969  dst: 1733

10. TCP: .A..S., len:    4, seq: 562005173-562005176, ack: 875064952, win:
   8760, src: 1733  dst: 1969

11. TCP: .A...., len:    0, seq: 875064952-875064952, ack: 562005174, win:
   8760, src: 1969  dst: 1733

12. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE
   call 0x6C645F65  assoc grp 0x0  xmit 0x16D0  recv 0x16D0

13. MSRPC: c/o RPC Bind Ack:     call 0x6C645F65  assoc grp 0x215D6F47
   xmit 0x16D0  recv 0x16D0

14. TCP: .AP..., len:  192, seq: 875065087-875065278, ack: 562005282, win:
   8652, src: 1969  dst: 1733

15. MSRPC: c/o RPC Request:      call 0x7DFE09C  opnum 0x1  context 0x0
   hint 0x2

16. TCP: .A...., len:    0, seq: 562005282-562005282, ack: 875065335, win:
   8377, src: 1733  dst: 1969

17. MSRPC: c/o RPC Response:     call 0x7DFE09C  context 0x0  hint 0x1C
   cancels 0x0

18. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x20  cancels
   0x0
				

Frames de 1-3 - nogmaals onze TCP drie way handshake.

Kader 4 - MTA ExchangeA is naar ExchangeB MTA bindend.

Kader 5 - ExchangeB erkent de binding met een BindAck.

6 - Frame

Kader 7 - ExchangeA verzendt een RPC-verzoek met opnum 0x0. Een opnum 0x0 is een MtaBind oproep. De ExchangeB wordt gestart MTA een binding te verlenen ExchangeA als de MTA van twee manier verbinding nodig.

Frame 8 - ExchangeB erkent dat het Frame 7 ontvangen.

Framess 9 tot en met 11 - onze TCP drie way handshake wordt gestart door ExchangeB Deze tijd.

Frame 12 - ExchangeB MTA bindend is voor de ExchangeA MTA.

Kader 13 - ExchangeA erkent de binding met een BindAck.

14 - Frame

Kader 15 - ExchangeB verzendt een RPC-verzoek met opnum 0x1. Een opnum 0x1 is een MtaBindBack oproep. Dit is instellen twee manier gesprek de MTA nodig.

Kader 16 - ExchangeA erkent het Frame 15 ontvangen.

Antwoord 17 - ExchangeB van frame naar Frame 7.

Antwoord 18 - ExchangeA van frame naar Frame 15.

Dit voorbeeld illustreert het verloop van een RPC-verbinding. Het bovenstaande voorbeeld specifiek een typische verbinding tussen twee MTA illustreert. Deze dezelfde soort gesprek zal tussen de verschillende Exchange gebeuren Diensten en hoewel de MTA is de enige die twee moet gesprek uitwisseling van gegevens.

De informatie in dit artikel wordt de MTA voor de voorbeelden. Een belangrijke Opmerking Dit is hetzelfde type gesprek gebeurt met een en alle communicatie Exchange RPC via TCP/IP.
  1. De TCP three-way handshake wordt vastgesteld.

    De toewijzing van het eindpunt wordt geraadpleegd om te bepalen op welke poort de gezochte service luistert.

    Bind- en BindAck tussen de twee services gebeurt tot RPC communicatie.

    Optioneel - een reeks van verzoeken en antwoorden met opnums worden uitgegeven.

    Optioneel - RPC-communicatie is beëindigd.

    De TCP-verbinding is verbroken met Fin-pakketten.
  2. De toewijzing van het eindpunt wordt geraadpleegd om te bepalen op welke poort de gezochte service luistert.

    Bind- en BindAck tussen de twee services gebeurt tot RPC communicatie.

    Optioneel - een reeks van verzoeken en antwoorden met opnums worden uitgegeven.

    Optioneel - RPC-communicatie is beëindigd.

    De TCP-verbinding is verbroken met Fin-pakketten.
  3. Bind- en BindAck tussen de twee services gebeurt tot RPC communicatie.

    Optioneel - een reeks van verzoeken en antwoorden met opnums worden uitgegeven.

    Optioneel - RPC-communicatie is beëindigd.

    De TCP-verbinding is verbroken met Fin-pakketten.
  4. Optioneel - een reeks van verzoeken en antwoorden met opnums worden uitgegeven.

    Optioneel - RPC-communicatie is beëindigd.

    De TCP-verbinding is verbroken met Fin-pakketten.
  5. Optioneel - RPC-communicatie is beëindigd.

    De TCP-verbinding is verbroken met Fin-pakketten.
  6. De TCP-verbinding is verbroken met Fin-pakketten.
Bij het zoeken via sniffer sporen van RPC-communicatie of elke TCP communicatie, is het belangrijk dat u weet dat meerdere gesprekken kunnen gelijktijdig plaatsvindt. Stel u dat niet gewoon omdat een aanvraagpakket volgt een BindAck pakket dat deze aanvraag is binnengekomen u bent geïnteresseerd, vanaf een bepaald gesprek. Een snelle controle het doel en bron poorten met TCP zien als het pakket u zijn kijken deel uitmaakt van de conversatie die u bent geïnteresseerd of niet. Als het poortnummer van de bestemming bron is niet hetzelfde als de poort getallen in de TCP-drie way handshake, het pakket dat u gebruikt is onderdeel van een afzonderlijk gesprek.

Een goede weergavefilter, Netwerkcontrole, filteren op de bestemming en poortnummers bron fungeert als een geweldige planningshulpmiddel in zodat de pakketten u bekijkt doen immers horen bij het gesprek betrokken.

Een belangrijke notitie is alleen dit artikel adressen RPC over TCP. Geen wat de onderliggende protocol is, zaak de RPC-stuk van dit artikel blijft hetzelfde. Bijvoorbeeld zou RPC via IPX helemaal op dezelfde manier werken behalve de IPX-communicatie zou moeten worden vastgesteld vóór de RPC veel op dezelfde manier worden voor RPC TCP vastgesteld.

Eigenschappen

Artikel ID: 159298 - Laatste beoordeling: dinsdag 17 juli 2012 - Wijziging: 4.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 4.0 Standard Edition
  • Microsoft Exchange Server 5.0 Standard Edition
Trefwoorden: 
kbnetwork kbusage kbmt KB159298 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende: 159298
Vrijwaring inhoud KB-artikelen over niet langer ondersteunde producten
Dit artikel heeft betrekking op producten waarvoor Microsoft geen ondersteuning meer biedt. Daarom wordt dit artikel alleen in de huidige vorm aangeboden en wordt het niet meer bijgewerkt.

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com