Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Analýza prevádzky Exchange RPC cez protokol TCP/IP

DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:159298
Tento článok bol archivovaný. Je publikovaný v aktuálnej podobe a už nebude aktualizovaný.
SUHRN
So serverom Exchange, niekedy musíte čítať a analyzovať čichač stopypri riešení servera na server komunikačné spolu s klient-na-Server oznámenie. Tento článok sa zaoberá RPC sniffs medzi rôzneExchange Server služby.
DALSIE INFORMACIE

Koniec bodu Mapper

Chápať rozličných stupňoch klientovi RPC prechádza napripojiť k určitej službe, musí najprv pochopiť, ako diaľkové ovládaniePostup Call (RPC) služby ", inak známe ako koncový bod Mapper,pomoc výmeny v jeho predsavzatí pre službu UUID čísla. Koniec bodu Mappervykonáva rôzne úlohy, ale ten máme záujem je jeho schopnosťPovedzte nám službu hľadáme načúva na číslo portu.UUID je možné vo všeobecnosti kategorizované podľa ich prvé 2 znaky,pre Microsoft Exchange v4.0 a v5.0:
A4 - STORE
F5 - DIRECTORY
E1 - MAPOVAČA
Dajte nám vziať nasledujúci príklad, kde ExchangeA Server chce poslaťhlásenie ExchangeB server (ExchangeA a ExchangeB sú na tom istom miestepreto mechanizmom komunikácie RPC a v tomto prípade je nadTCP/IP).

Prvá vec, ktorú musí urobiť ExchangeA je dotaz ExchangeB koncový bodMapovač nájsť, kde je počúvať jeho MTA. Dôvodom pre to je portčíslo, ktoré každá výmena služba počúva na môžete zmeniť na následnéfirmami. Koncový bod Mapper je zodpovedný za sledovacie služby, ktorépočúva na ktoré miesto. Keď sa služba Exchange spustí, žurnálysama s koncový bod Mapper a žiada koncový bod Mapper priraďte hočíslo portu. Koncový bod Mapper vždy načúva na porte 135 preTCP/IP a koncový bod Mapper UUID je (E1AF8308-5D1F-11C9-91A4-08002B14A0FA).

Nasledujúce 11 rámy zobraziť úplné rozhovor medzi ExchangeA(na porte 3464) a ExchangeB's koncový bod Mapper (na porte 135):
1. TCP: ....S., len:    4, seq: 562005063-562005066, ack:         0, win:   8192, src: 3464  dst:  1352. TCP: .A..S., len:    4, seq: 875064831-875064834, ack: 562005064, win:   8760, src:  135  dst: 34643. TCP: .A...., len:    0, seq: 562005064-562005064, ack: 875064832, win:   8760, src: 3464  dst:  1354. MSRPC: c/o RPC Bind:         UUID E1AF8308-5D1F-11C9-91A4-08002B14A0FA   call 0x54004E  assoc grp 0x0  xmit 0x16D0  recv 0x16D05. MSRPC: c/o RPC Bind Ack:     call 0x54004E  assoc grp 0x33CFA  xmit   0x16D0  recv 0x16D06. MSRPC: c/o RPC Request:      call 0x1  opnum 0x3  context 0x0  hint   0x847. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x80  cancels   0x08. TCP: .A...F, len:    0, seq: 562005292-562005292, ack: 875065044, win:   8548, src: 3464  dst:  1359. TCP: .A...., len:    0, seq: 875065044-875065044, ack: 562005293, win:   8532, src:  135  dst: 346410. TCP: .A...F, len:    0, seq: 875065044-875065044, ack: 562005293, win:   8532, src:  135  dst: 346411. TCP: .A...., len:    0, seq: 562005293-562005293, ack: 875065045, win:   8548, src: 3464  dst:  135				

Rám 1 - ExchangeA odošle paket Syn ExchangeB.

Rám 2 - ExchangeB uznáva paket s SynAck paketu.

Rám 3 - ExchangeA odošle potvrdiť SynAck.Teraz máme TCP spojenia medzi ExchangeA a ExchangeB.

Rám 4 - ExchangeA je záväzné spoločnosti ExchangeB koncového bodu mapovača. ViemeToto číslo UUID (E1AF8308-5D1F-11C9-91A4-08002B14A0FA) jeodosielanie viazať na a tiež dst: číslo portu.

Rám 5 - ExchangeB uznáva viazať s BindAck.Teraz máme RPC spojenie medzi ExchangeA a ExchangeB na koncový bodMapovač.

Rám 6 - ExchangeA odošle RPC požiadať o opnum 0x3 ExchangeB pozdĺžs UUID služby hľadajú sa (v tomto prípade jeExchangeB's MTA). Toto je požiadať číslo portu služby szodpovedajúce UUID.

Rám 7 - ExchangeB vracia prístavu číslo, ktoré služba, ktorý zodpovedáTento UUID načúva na. ExchangeA teraz má všetky informácie, ktoré potrebujenájsť MTA na ExchangeB.

Rámy, 8 až 11 - zatvorenie TCP spojenia medzi ExchangeA aExchangeB.

Teraz, že ExchangeA vie číslo portu je potrebné pripojiť k ExchangeB toMTA. Dôležitá poznámka tu je Exchange MTA robí RPC viazať mierneiný než väčšina RPC viaže. Vykonáva obojsmerné handshake zmysle,nielen má ExchangeA naviazať na ExchangeB, ale ExchangeB musí byť viazanána ExchangeA pred všetky správy môžu byť zaslané. Preto by ste mali vidieťViazať nasleduje BindAck a potom ďalší viazať na serveri dodržiavaťpodľa iného BindAck vyobrazené nižšie.
1. TCP: ....S., len:    4, seq: 562005113-562005116, ack:         0, win:   8192, src: 3470  dst: 47642. TCP: .A..S., len:    4, seq: 875064881-875064884, ack: 562005114, win:   8760, src: 4764  dst: 34703. TCP: .A...., len:    0, seq: 562005114-562005114, ack: 875064882, win:   8760, src: 3470  dst: 47644. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE   call 0x1EBE80  assoc grp 0x0  xmit 0x16D0  recv 0x16D05. MSRPC: c/o RPC Bind Ack:     call 0x1EBE80  assoc grp 0x3150EAC1  xmit   0x16D0  recv 0x16D06. TCP: .AP..., len:  206, seq: 562005250-562005455, ack: 875064990, win:   8652, src: 3470  dst: 47647. MSRPC: c/o RPC Request:      call 0x1  opnum 0x0  context 0x0  hint   0x11E8. TCP: .A...., len:    0, seq: 875064990-875064990, ack: 562005792, win:    8082, src: 4764  dst: 34709. TCP: ....S., len:    4, seq: 875064951-875064954, ack:         0, win:    8192, src: 1969  dst: 173310. TCP: .A..S., len:    4, seq: 562005173-562005176, ack: 875064952, win:   8760, src: 1733  dst: 196911. TCP: .A...., len:    0, seq: 875064952-875064952, ack: 562005174, win:   8760, src: 1969  dst: 173312. MSRPC: c/o RPC Bind:         UUID 9E8EE830-4459-11CE-979B-00AA005FFEBE   call 0x6C645F65  assoc grp 0x0  xmit 0x16D0  recv 0x16D013. MSRPC: c/o RPC Bind Ack:     call 0x6C645F65  assoc grp 0x215D6F47   xmit 0x16D0  recv 0x16D014. TCP: .AP..., len:  192, seq: 875065087-875065278, ack: 562005282, win:   8652, src: 1969  dst: 173315. MSRPC: c/o RPC Request:      call 0x7DFE09C  opnum 0x1  context 0x0   hint 0x216. TCP: .A...., len:    0, seq: 562005282-562005282, ack: 875065335, win:   8377, src: 1733  dst: 196917. MSRPC: c/o RPC Response:     call 0x7DFE09C  context 0x0  hint 0x1C   cancels 0x018. MSRPC: c/o RPC Response:     call 0x1  context 0x0  hint 0x20  cancels   0x0				

Rámy 1 až 3 - opäť smerovej naše TCP tri.

Rám 4 - ExchangeA MTA je záväzné ExchangeB MTA.

Rám 5 - ExchangeB uznáva viazať s BindAck.

Rám 6-

Rám 7 - ExchangeA odošle RPC požiadať s opnum 0x0. Opnum 0x0 jeMtaBind hovor. To bude spúšťať ExchangeB's MTA vydávať viazať naExchangeA ako MTA je potrebné pripojenie dvoch spôsobom.

Rám 8 - ExchangeB uznáva, dostala rám 7.

Framess 9 až 11 - naša TCP tri smerovej iniciované ExchangeBtentoraz.

Rám 12 - ExchangeB MTA je viazanie k ExchangeA's MTA.

Rám 13 - ExchangeA uznáva viazať s BindAck.

Rám 14-

Rám 15 - ExchangeB odošle RPC požiadať s opnum 0x1. Opnum 0x1 jeMtaBindBack hovor. Je toto nastavenie konverzácie dvojcestnej MTA potrebu.

Rám 16 - ExchangeA uznáva dostala rám 15.

Rám 17 - ExchangeB odpoveď na rám 7.

Rám 18 - ExchangeA odpoveď na rám 15.

To ilustruje toku pripojenie RPC. Príklad vyššieilustruje špecificky typické spojenie medzi dvoma MTA. Toto istédruh konverzácie sa stane medzi rôzne výmenuSlužby ako aj hoci MTA je len jeden, že potrebuje dve cestykonverzácie na výmenu informácií.

Informácie obsiahnuté v tomto článku používa MTA jeho príklady. Andôležitá poznámka je to rovnaký typ konverzácie sa stane s akoukoľvek avšetky výmeny RPC komunikácia cez protokol TCP/IP.
  1. Zriadi sa TCP tri-smerovej.

    Koncový bod Mapper konzultuje s cieľom určiť na ktorom porte Služba chcel počúva.

    Bind a BindAck medzi dve služby bude diať vytvoriť RPC oznámenie.

    Voliteľné - séria žiadostí a reakcie s opnums bude vydané.

    Voliteľné - skončil RPC komunikáciu.

    Pripojenie TCP sa členia s Fin pakety.
  2. Koncový bod Mapper konzultuje s cieľom určiť na ktorom porte Služba chcel počúva.

    Bind a BindAck medzi dve služby bude diať vytvoriť RPC oznámenie.

    Voliteľné - séria žiadostí a reakcie s opnums bude vydané.

    Voliteľné - skončil RPC komunikáciu.

    Pripojenie TCP sa členia s Fin pakety.
  3. Bind a BindAck medzi dve služby bude diať vytvoriť RPC oznámenie.

    Voliteľné - séria žiadostí a reakcie s opnums bude vydané.

    Voliteľné - skončil RPC komunikáciu.

    Pripojenie TCP sa členia s Fin pakety.
  4. Voliteľné - séria žiadostí a reakcie s opnums bude vydané.

    Voliteľné - skončil RPC komunikáciu.

    Pripojenie TCP sa členia s Fin pakety.
  5. Voliteľné - skončil RPC komunikáciu.

    Pripojenie TCP sa členia s Fin pakety.
  6. Pripojenie TCP sa členia s Fin pakety.
Pri pohľade cez čichač stopy RPC komunikáciu alebo akékoľvek TCPkomunikácie, je dôležité, že ste si vedomí že viacerýchKonverzácia môže vyskytuje súčasne. Nie predpokladať, že jednoduchopretože paket vyplýva BindAck paket, ktorý túto požiadavku prišielz najmä konverzácie sa zaujímate. Rýchla kontrolaurčenia a zdrojových portov TCP vám povedia, ak paket stesa pozrieme na je súčasťou konverzácie vás záujem, alebo nie. Akčíslo portu určenia a/alebo zdroj je žiadne rovnaké ako portčísla použité v TCP tri smerovej, paket sa pozrieme naje súčasťou samostatnej konverzáciu.

Dobrý displej filter v rámci Network Monitor, filtrovanie na mieste určeniaa čísla portov zdroj bude slúžiť ako skvelý aide pri zabezpečovaní paketyhľadáte na robiť v skutočnosti patria do v konverzácii.

Jedna dôležitá poznámka je tento článok adresy RPC cez TCP len. Niezáležitosť čo podkladových protokol je, RPC kus tohto článkuzostáva rovnaký. Napríklad RPC cez protokol IPX by fungovať docela podobneOkrem oznámení IPX by mali byť stanovené vopred na RPC oveľarovnakým spôsobom sa musí stanoviť TCP pred RPC.
Sledovanie programu Netmon pre siete

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 159298 – Posledná kontrola: 12/04/2015 15:46:25 – Revízia: 2.0

Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange Server 4.0 Standard Edition, Microsoft Exchange Server 5.0 Standard Edition

  • kbnosurvey kbarchive kbnetwork kbusage kbmt KB159298 KbMtsk
Pripomienky