Netztrafficanalyse eines repadmin-Befehls

Autor: blub, MCSEboard.de

Bei Repadmin handelt es sich um ein Befehlszeilenprogramm, das Fehler bei einer Replikationsverknüpfung zwischen zwei Replikationspartnern meldet.

Der folgende Befehl, abgesetzt auf einem der beteiligten Domaincontroller oder einem weiteren Rechner, führt unmittelbar zu einer Replikation des Namenskontextes „dc=netz1, dc=de“ also des Domaincontextes von dc2.netz1.de zu dc1.netz1.de

repadmin –replicate netz1-dc1 netz1-dc2 dc=netz1,dc=de

Im folgenden Beispiel liegt diese Konfiguration unter MS-VirtualPC vor:

Domaincontroller1 (w2k3-SP1) : netz1-dc1.netz1.de  - IP 192.178.168.101 /24
Domaincontroller2 (w2k3-SP1) : netz1-dc2.netz1.de  - IP 192.178.168.102 /24
AdminPC                (XP-SP2)     : netz1-xp1.netz1.de  - IP 192.178.168.110 /24

Auf dem AdminPC wird der Befehl repadmin –replicate netz1-dc1 netz2-dc2 dc=netz1,dc=de aufgerufen und die Kommunikation zwischen dem AdminPC und den Domaincontrollern, sowie zwischen den Domaincontrollern beobachtet und ausgewertet.
Aufgezeichnet wird der Traffic auf dem AdminPC im promiciscous-Mode mit dem Diagnose-Tool Wireshark. Das Ergebnis kann man sich in der Datei trace1-replicate.pcap ansehen.

Die folgenden 5 Datenströme lassen sich identifizieren.

Nr.
Pakete
Inhalt
1
1 - 14
 1-3 TCP 3-way handshake: netz1-xp1:1117 und netz1-dc1:389 (LDAP)

4-7 LDAPSearch ohne Authentifizierung nach Filter: (objectclass=*)
   Item: subschemaSubentry
   Item: dsServiceName
   Item: namingContexts
   Item: defaultNamingContext
   Item: schemaNamingContext
   Item: configurationNamingContext
   Item: rootDomainNamingContext
   Item: supportedControl
   Item: supportedLDAPVersion
   Item: supportedLDAPPolicies
   Item: supportedSASLMechanisms
   Item: dnsHostName
   Item: ldapServiceName
   Item: serverName
   Item: supportedCapabilities

8-10 LDAP-Bind und Unbind, Kerberosauthentifiziert
   Der Client schlägt dem Server in Paket 8 drei verschiedene Authentifizierungs-
   möglichkeiten vor (SPNEGO - Simple Protected Negotiation):

   Item: 1.2.840.48018.1.2.2 (MS KRB5 - Microsoft Kerberos 5)
   Item: 1.2.840.113554.1.2.2 (KRB5 - Kerberos 5)
   Item: 1.3.6.1.4.1.311.2.2.10 (NTLMSSP - Microsoft NTLM Security Support
(Die Kerberostickets wurden bereits vorher erworben, so dass die eigentliche Kerberosauthentifizierung hier nicht erscheint.

9 Der Server lässt den Bind mit (KRB5 OID: 1.2.840.113554.1.2.2 (KRB5 - Kerberos 5) zu

10 LDAP-Unbind

11-14 Abbau der TCP-Verbindung
Nr.
Pakete
Inhalt
2
15-37
44
68-69
73-75

15-17 TCP 3-way handshake: netz1-xp1:1118 und netz1-dc1:389 LDAP

18-19 LDAP-Bind und Unbind, Kerberosauthentifiziert (s. 8-10)

20-37 verschiedene einzelne Kerberosauthentifizierte LDAPSearches
   20: dsServiceName
   22: dnsHostName
   24: configurationNamingContext
   26: schemaNamingContext
   28: defaultNamingContext
   30: rootDomainNamingContext
   32 – 36: querys über LDAP-Controls (OIDs)

44 TCP Acknowledge

68-69 LDAP Unbind

73-75 Abbau der TCP-Verbindung
Nr.
Pakete
Inhalt
3
38-43
45-46
50-53

38-40 TCP 3-way Handshake: netz1-xp1:1119 und netz1-dc1:135 (epmap/RPC)

41-42 DCERPC Verbindungsaufbau
UUID: e1af8308-5d1f-11c9-91a4-08002b14a0fa (die UUID des EPMs bzw. RPC-Services selbst). Der AdminPC bindet sich an den Enpointmapper des Servers

43,45 EPMAP:
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
(Directory Replication Service)

45 Einrichten des DRS auf Port 1025 (ohne Kerberos)
   Floor 1 UUID: DRSUAPI
   Floor 2 UUID: Version 1.1 network data representation protocol
   Floor 3 RPC connection-oriented protocol
   Floor 4 TCP Port:1025
   Floor 5 IP:192.168.178.101

46, 50-53 Abbau der TCP-Verbindung
Nr.
Pakete
Inhalt
4
47-49
53-61
64-72

47-49 TCP 3-way Handshake: netz1-xp1:1120 und netz1-dc1:1025 (LSASS)

54-58 DCERPC Kerberos gesicherter Verbindungsaufbau auf Port 1025 (LSASS)
UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
(Directory Replication Service)

59-61 DRSUAPI Absetzen des Replicationsbefehls an den Server (encrypted)

64 DRSUAPI Response

65-66 Abbau der RPC DRSUAPI-Verbindung

67, 70-72 Abbau der TCP-Verbindung
Nr.
Pakete
Inhalt
5
62
63
76
Replication der beiden Domaincontroller
Im Beispiel werden keine Daten repliziert, da beide DCs synchron sind.

 

Anhang

Der komplette Trace kann mit Wireshark anhand der originalen *.pcap-Datei nachvollzogen werden.
Download:  trace1-replicate.pcap

 Homepage und Download des Diagnose-Tools Wireshark

 Infos zu Repadmin.exe im Microsoft Windows Server 2003 TechCenter

 

© MCSEboard.de, blub