Menganalisis lalu lintas pertukaran RPC atas TCP/IP

PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.

Klik disini untuk melihat versi Inggris dari artikel ini:159298
Artikel ini telah diarsipkan. Artikel ditawarkan dalam bentuk "apa adanya" dan tidak akan dapat diperbarui lagi.
RINGKASAN
Dengan Exchange Server, Anda kadang-kadang perlu untuk membaca dan menganalisis sniffer jejakKetika pemecahan masalah komunikasi server-server bersama dengan klien-untuk-komunikasi server. Artikel ini membahas RPC mengendus antara berbagaiExchange Server layanan.
INFORMASI LEBIH LANJUT

Akhir titik Mapper

Untuk memahami berbagai tahap RPC klien melewati untukmenghubungkan ke layanan tertentu, kami harus terlebih dahulu memahami bagaimana RemoteLayanan panggilan (RPC) prosedur ', atau dikenal sebagai titik akhir Mapper,bantu Exchange dalam pencariannya untuk layanan UUID angka. Titik akhir Mappermelakukan berbagai tugas tetapi kami tertarik adalah kemampuannyauntuk memberitahu kami nomor port layanan kami mencari mendengarkan pada.UUID's dapat umumnya dikategorikan oleh mereka pertama 2 karakter,untuk Microsoft Exchange v4.0 dan v5.0:
A4 - TOKO
F5 - DIREKTORI
E1 - ENDPOINT MAPPER
Mari kita ambil contoh berikut di mana ExchangeA Server ingin mengirimpesan ke ExchangeB Server (ExchangeA dan ExchangeB adalah di situs yang samaoleh karena itu mekanisme komunikasi adalah RPC dan dalam kasus ini it's overTCP/IP).

Hal pertama yang ExchangeA harus lakukan adalah titik akhir permintaan ExchangeBMapper untuk menemukan di mana MTA yang mendengarkan. Alasan untuk ini adalah portnomor yang setiap layanan pertukaran didengarkan dapat mengubah pada berikutnyastartups. Mapper titik akhir bertanggung jawab untuk melacak layanan yangyang mendengarkan pada titik mana. Ketika Exchange layanan dimulai, registeritu sendiri dengan titik akhir Mapper dan meminta Mapper titik akhir untuk menetapkannomor port. Titik akhir Mapper selalu mendengarkan pada port 135 untukTCP/IP dan titik akhir Mapper UUID adalah (E1AF8308-5D1F-11C9-91A4-08002B14A0FA).

Frame 11 berikut menunjukkan lengkap percakapan antara ExchangeA(pada port 3464) dan ExchangeB's End Point Mapper (pada port 135):
1. TCP: ....S., len:    4, seq: 562005063-562005066, ack:         0, win:   8192, src: 3464  dst:  1352. TCP: .A..S., len:    4, seq: 875064831-875064834, ack: 562005064, win:   8760, src:  135  dst: 34643. TCP: .A...., len:    0, seq: 562005064-562005064, ack: 875064832, win:   8760, src: 3464  dst:  1354. MSRPC: c/o RPC Bind:         UUID E1AF8308-5D1F-11C9-91A4-08002B14A0FA   call 0x54004E  assoc grp 0x0  xmit 0x16D0  recv 0x16D05. MSRPC: c/o RPC Bind Ack:     call 0x54004E  assoc grp 0x33CFA  xmit   0x16D0  recv 0x16D06. MSRPC: c/o RPC Request:      call 0x1  opnum 0x3  context 0x0  hint   0x847. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x80  cancels   0x08. TCP: .A...F, len:    0, seq: 562005292-562005292, ack: 875065044, win:   8548, src: 3464  dst:  1359. TCP: .A...., len:    0, seq: 875065044-875065044, ack: 562005293, win:   8532, src:  135  dst: 346410. TCP: .A...F, len:    0, seq: 875065044-875065044, ack: 562005293, win:   8532, src:  135  dst: 346411. TCP: .A...., len:    0, seq: 562005293-562005293, ack: 875065045, win:   8548, src: 3464  dst:  135				

Bingkai 1 - ExchangeA mengirim paket Sin ke ExchangeB.

Bingkai 2 - ExchangeB mengakui paket dengan paket SynAck.

Bingkai 3 - ExchangeA mengirim mengakui SynAck.Kami sekarang memiliki koneksi TCP antara ExchangeA dan ExchangeB.

Bingkai 4 - ExchangeA mengikat untuk ExchangeB's End Point Mapper. Kita tahuini oleh UUID nomor (E1AF8308-5D1F-11C9-91A4-08002B14A0FA) adalahmengirim yang mengikat untuk dan juga oleh dst: nomor port.

Bingkai 5 - ExchangeB mengakui yang mengikat dengan BindAck.Kami sekarang memiliki RPC koneksi antara ExchangeA dan ExchangeB's End PointMapper.

Bingkai 6 - ExchangeA mengirim RPC meminta opnum 0x3 untuk ExchangeB bersamadengan UUID layanan mencari (dalam hal ini sangatExchangeB's MTA). Ini adalah untuk meminta nomor port layanan denganUUID sesuai.

Frame 7 - ExchangeB kembali port nomor yang layanan yang sesuaiUUID ini mendengarkan pada. ExchangeA sekarang memiliki semua informasi yang dibutuhkanuntuk menemukan MTA pada ExchangeB.

Frame 8 melalui 11 - menutup koneksi TCP antara ExchangeA danExchangeB.

Sekarang bahwa ExchangeA tahu nomor port yang diperlukan untuk menyambung ke ExchangeB'sMTA. Catatan penting di sini adalah MTA pertukaran Apakah RPC mengikat sedikitberbeda dari kebanyakan RPC mengikat. Melakukan jabat tangan dua arah, artinya,tidak hanya Apakah ExchangeA harus mengikat untuk ExchangeB tetapi ExchangeB harus mengikatuntuk ExchangeA sebelum pesan dapat dikirim. Oleh karena itu, Anda akan melihatMengikat diikuti oleh BindAck maka Bind lain dari server lain diikutioleh lain BindAck sebagai ilustrasi di bawah ini.
1. TCP: ....S., len:    4, seq: 562005113-562005116, ack:         0, win:   8192, src: 3470  dst: 47642. TCP: .A..S., len:    4, seq: 875064881-875064884, ack: 562005114, win:   8760, src: 4764  dst: 34703. TCP: .A...., len:    0, seq: 562005114-562005114, ack: 875064882, win:   8760, src: 3470  dst: 47644. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE   call 0x1EBE80  assoc grp 0x0  xmit 0x16D0  recv 0x16D05. MSRPC: c/o RPC Bind Ack:     call 0x1EBE80  assoc grp 0x3150EAC1  xmit   0x16D0  recv 0x16D06. TCP: .AP..., len:  206, seq: 562005250-562005455, ack: 875064990, win:   8652, src: 3470  dst: 47647. MSRPC: c/o RPC Request:      call 0x1  opnum 0x0  context 0x0  hint   0x11E8. TCP: .A...., len:    0, seq: 875064990-875064990, ack: 562005792, win:    8082, src: 4764  dst: 34709. TCP: ....S., len:    4, seq: 875064951-875064954, ack:         0, win:    8192, src: 1969  dst: 173310. TCP: .A..S., len:    4, seq: 562005173-562005176, ack: 875064952, win:   8760, src: 1733  dst: 196911. TCP: .A...., len:    0, seq: 875064952-875064952, ack: 562005174, win:   8760, src: 1969  dst: 173312. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE   call 0x6C645F65  assoc grp 0x0  xmit 0x16D0  recv 0x16D013. MSRPC: c/o RPC Bind Ack:     call 0x6C645F65  assoc grp 0x215D6F47   xmit 0x16D0  recv 0x16D014. TCP: .AP..., len:  192, seq: 875065087-875065278, ack: 562005282, win:   8652, src: 1969  dst: 173315. MSRPC: c/o RPC Request:      call 0x7DFE09C  opnum 0x1  context 0x0   hint 0x216. TCP: .A...., len:    0, seq: 562005282-562005282, ack: 875065335, win:   8377, src: 1733  dst: 196917. MSRPC: c/o RPC Response:     call 0x7DFE09C  context 0x0  hint 0x1C   cancels 0x018. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x20  cancels   0x0				

1 Sampai 3 - frame sekali lagi kami cara TCP tiga jabat tangan.

Bingkai 4 - ExchangeA MTA mengikat untuk ExchangeB MTA.

Bingkai 5 - ExchangeB mengakui yang mengikat dengan BindAck.

Bingkai 6-

Frame 7 - ExchangeA mengirim permintaan RPC dengan opnum 0x0. Opnum 0x0 adalahMtaBind panggilan. Ini akan memicu ExchangeB's MTA untuk mengeluarkan Bind untukExchangeA sebagai MTA's membutuhkan koneksi dua arah.

Bingkai 8 - ExchangeB mengakui menerima Frame 7.

Framess 9 sampai 11 - kami TCP tiga cara handshake diprakarsai oleh ExchangeBSaat ini.

Bingkai 12 - ExchangeB MTA mengikat untuk ExchangeA's MTA.

Bingkai 13 - ExchangeA mengakui yang mengikat dengan BindAck.

Bingkai 14-

Bingkai 15 - ExchangeB mengirim permintaan RPC dengan opnum 0x00000001. Opnum 0x00000001 adalahMtaBindBack panggilan. Ini adalah menyiapkan dua arah percakapan MTA kebutuhan.

Bingkai 16 - ExchangeA mengakui menerima Frame 15.

Bingkai 17 - ExchangeB menanggapi Frame 7.

Bingkai 18 - ExchangeA menanggapi Frame 15.

Ini menggambarkan aliran RPC koneksi. Contoh di atasmenggambarkan khusus sambungan khas antara dua MTA. Sama inijenis percakapan akan terjadi antara berbagai bursa lainnyaLayanan juga meskipun MTA adalah satu-satunya yang memerlukan dua arahpercakapan untuk bertukar informasi.

Informasi yang terkandung dalam artikel ini menggunakan MTA dengan contoh. Anpenting Catatan ini adalah jenis percakapan yang sama akan terjadi dengan dansemua komunikasi Exchange RPC atas TCP/IP.
  1. Tiga-cara TCP jabat tangan akan didirikan.

    Titik akhir Mapper berkonsultasi untuk menentukan pada port yang layanan yang ingin mendengarkan.

    Bind dan BindAck antara kedua layanan akan terjadi untuk mendirikan RPC komunikasi.

    Opsional - serangkaian permintaan dan tanggapan dengan opnums akan dikeluarkan.

    Opsional - komunikasi RPC berakhir.

    Koneksi TCP rusak dengan sirip paket.
  2. Titik akhir Mapper berkonsultasi untuk menentukan pada port yang layanan yang ingin mendengarkan.

    Bind dan BindAck antara kedua layanan akan terjadi untuk mendirikan RPC komunikasi.

    Opsional - serangkaian permintaan dan tanggapan dengan opnums akan dikeluarkan.

    Opsional - komunikasi RPC berakhir.

    Koneksi TCP rusak dengan sirip paket.
  3. Bind dan BindAck antara kedua layanan akan terjadi untuk mendirikan RPC komunikasi.

    Opsional - serangkaian permintaan dan tanggapan dengan opnums akan dikeluarkan.

    Opsional - komunikasi RPC berakhir.

    Koneksi TCP rusak dengan sirip paket.
  4. Opsional - serangkaian permintaan dan tanggapan dengan opnums akan dikeluarkan.

    Opsional - komunikasi RPC berakhir.

    Koneksi TCP rusak dengan sirip paket.
  5. Opsional - komunikasi RPC berakhir.

    Koneksi TCP rusak dengan sirip paket.
  6. Koneksi TCP rusak dengan sirip paket.
Ketika melihat melalui jejak-jejak sniffer RPC komunikasi, atau apapun TCPkomunikasi, sangat penting bahwa Anda menyadari bahwa beberapapercakapan dapat terjadi secara bersamaan. Jangan menganggap itu hanyakarena permintaan paket mengikuti paket BindAck yang permintaan ini datangdari percakapan tertentu Anda tertarik. Pemeriksaan cepattujuan dan sumber port dengan TCP akan memberitahu Anda jika paket Andayang melihat adalah bagian dari percakapan Anda tertarik atau tidak. Jikatujuan dan/atau sumber nomor port adalah tidak sama dengan portangka-angka yang digunakan dalam TCP tiga cara jabat tangan, paket yang Anda cari diadalah bagian dari percakapan yang terpisah.

Filter tampilan yang baik dalam Monitor Jaringan, penyaringan pada tujuandan nomor port sumber akan berfungsi sebagai ajudan besar dalam memastikan paket-paketAnda sedang melihat melakukan memang milik percakapan yang bersangkutan.

Satu catatan penting lainnya adalah ini alamat artikel RPC atas TCP hanya. Tidakmasalah apa protokol yang mendasari adalah, potongan RPC artikel initetap sama. Misalnya RPC atas IPX akan bekerja cukup samakecuali komunikasi IPX harus menjadi mapan sebelum RPC jauhdengan cara yang sama TCP harus didirikan sebelum RPC.
Netmon Network Monitor

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 159298 - Tinjauan Terakhir: 12/04/2015 15:46:22 - Revisi: 2.0

Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange Server 4.0 Standard Edition, Microsoft Exchange Server 5.0 Standard Edition

  • kbnosurvey kbarchive kbnetwork kbusage kbmt KB159298 KbMtid
Tanggapan