rz10.de - die SAP Basis und Security Experten
RZ10-eBooks: SAP Basis in der Version vom 5.03.2015
1 / 279
rz10.de - die SAP Basis und Security Experten
Inhaltsverzeichnis ABAP-Webservices mit dem SOA-Manager anlegen ....................................... 4 Abfrage von mehreren SAP Tabellen über den Quickviewer ............................... 13 Abgebrochene Verbuchungssätze löschen - SM13 ....................................... 17 Anmeldesprache für SAP Dialogbenutzer festlegen ...................................... 22 ANST - Werkzeug für die automatisierte Hinweissuche ................................... 26 Ausplanen eines eingeplanten Importauftrags .......................................... 33 Authentifizierung und Verschlüsselung beim E-Mail-Versand .............................. 37 Automatische Prüfung für SAP Sicherheitshinweise ...................................... 39 Benutzerstammsätze exportieren und importieren ...................................... 43 Betriebssystembefehle via Transaktion ausführen ....................................... 48 Betriebssyteminformationen aus dem SAP heraus analysieren ............................ 57 brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set ................ 60 CCMS-Alerts per E-Mail erhalten ..................................................... 63 Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt ................. 71 Download von SAP Sprachpaketen ................................................... 73 Dumps nach Abbruch der SPAM ...................................................... 75 Fehler "unable to save the local file information" im SAP Download Manager ................. 77 Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO ............................... 79 Fehler beim BI_CONT einspielen: Quellsystem existiert nicht .............................. 81 Fehler beim Registrieren des saprouter Dienstes ........................................ 83 Fehler im Upgrade auf EHP1 ........................................................ 85 Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible ................... 87 Fehleranalyse bei Startproblemen der J2EE ............................................ 92 Gefährlicher Profilparameter auth/object_disabling_active ................................ 93 Google Chrome Extension - SAP Any Search ............................................ 94 Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen ....................... 97 HowTo Konfiguration von Adobe Document Services (ADS - SAP) ......................... 101 IDoc Status manuell ändern ........................................................ 103 Importeinplanung von Transportaufträgen via STMS .................................... 107 Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario ................... 110 J-Co Destination kann nicht gestartet werden ......................................... 114 JSPM Start: Error while detecting start profile .......................................... 120 Kennworthistorie zurücksetzen ..................................................... 122 Laufzeitfehler DDIC_TYPELENG_INCONSISTENT ........................................ 124 Mandantenkopie ................................................................. 126 Massensperren von Benutzern via SU10 .............................................. 129 MaxDB 7.8 Passwort-Reset ......................................................... 130 Netzwerkverbindungen aus dem SAP testen .......................................... 133 OK – Codes für SAP ............................................................... 136 ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account .............................. 139 Oracle-/DB Administration und Performance Transaktionen .............................. 141 Performance Analysen im BW – ein erster Ansatz ...................................... 143 PI-Komponenten fehlen im SLD ..................................................... 147 Pseudo Sprachinstallation im SAP BW ................................................ 150 SAP Archiv - SAR-Datei mit SAPCAR entpacken ........................................ 151 SAP Benutzertypen richtig verwenden ............................................... 154 SAP Emailversand einrichten und testen .............................................. 156 SAP Kernel Update durchführen ..................................................... 161 SAP Management Console lässt sich nicht mehr starten – Java Problem .................... 163 SAP Oracle Listener startet nicht .................................................... 168 SAP Portal Anmelde-Popup beim Öffnen von MS Office-Dateien ........................... 170 SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed ............. 173 SAP Speichermodell in Windows Umgebungen ......................................... 180 SAP ST03N Änderung der Aufbewahrungszeit von genutzten Transaktionen ................ 183
2 / 279
rz10.de - die SAP Basis und Security Experten SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager ................... SAP Transport Status zurücknehmen ................................................ SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI ...................... SAP-Stern freischalten - Notfallbenutzer SAP* in SAP NetWeaver aktivieren ................. Saprouter als Service mit SNC ...................................................... SDCCN manuell konfigurieren ...................................................... Single Sign On für SAP GUI ......................................................... Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard ....................... Spool-Aufträge manuell löschen .................................................... Sprachpakte in SAP aktivieren - select one of the installed languages ...................... SSL Webservices im SAP nutzen .................................................... SSO Troubleshooting Checklist ..................................................... SUM Fehler – sapcontrol service certificate is not trusted ................................ SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ ........ SUM - validation of deployment queue completed with error ............................. SYNCMARK blockiert Importqueue: wrong syntax in tp call ............................... Systemauslastung aufzeichnen und analysieren ....................................... Tabelle WRH$_SQL_BIND_METADATA wächst schnell ................................... Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS ....................... TP Befehle zur Transportsteuerung .................................................. Trace erstellen mit der Transaktion ST12 ............................................. Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11 ............................. Transportauftrag aus Importqueue löschen ........................................... Transporteur zu SAP Transport ermitteln ............................................. Überwachungspause im Solution Manager für ein System einplanen ......................
186 188 191 194 196 198 202 205 208 212 218 223 227 230 234 237 241 249 251 257 260 265 268 271 274
3 / 279
rz10.de - die SAP Basis und Security Experten
ABAP-Webservices mit dem SOA-Manager anlegen von Tobias Harmes - Beitrag vom 20. Januar 2011
Gerade im SAP-Umfeld ist es interessant, im produktiven System verfügbare Informationen auch anderen Nicht-SAP-Systemen zugänglich machen zu können. Webservices sind ein effektives Mittel um Systeme ohne große Umwege direkt miteinander kommunizieren zu lassen. Mit SAP NetWeaver 7.0 SP14 steht nun auch die Transaktion SOAMANAGER zur Verfügung, die den Umgang mit Webservices deutlich einfacher macht. Dieses Howto beschreibt anhand eines einfachen Beispiels die Vorgehensweise, um mit ABAP und dem SOAMANAGER einen SAP Webservice zur Verfügung zu stellen. Wir unterstützen Sie bei der Konfiguration und Absicherung Ihrer Schnittstellen. Ob Sie Webservices absichern wollen oder einfach Unterstützung bei der initialen Konfiguration haben möchten, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail
[email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Überblick 1. Voraussetzungen 2. Einen Funktionsbaustein und Webservice im ABAP anlegen 3. Den Webservice mit soapUI nutzen
Voraussetzungen: Eine funktionierende Transaktion SOAMANAGER (ab SAP NetWeaver 7.0 SP14) Entwicklerzugriff und ABAP Kenntnisse , Transaktion SE80 Einen technischen User für den eingeschränkten Zugriff (Benutzertyp Kommunikation) Einen Konsumenten, das heißt einen Webservice-Nutzer (zum Testen ist das WebservicesTest-Tool soapUI gut geeignet)
Einen Funktionsbaustein und Webservice im ABAP anlegen
4 / 279
rz10.de - die SAP Basis und Security Experten Reihenfolge für das Anlegen eines Webservice im Überblick: 1. 2. 3. 4. 5.
RFC-fähigen Funktionsbaustein anlegen Input/Export-Parameter definieren Das Programm Webservice anlegen Service im SOAMANAGER browsen und WSDL-Link speichern
RFC-fähigen Funktionsbaustein anlegen
Unser Beispiel wird ein Webservice sein, dem zwei Zahlen übergeben werden und der daraufhin die Summe der beiden Zahlen zurück gibt. Dafür in der Transaktion SE80 einen Funktionsbaustein anlegen und dabei in den Eigenschaften “Remote fähiger Baustein” anwählen.
Input/Export-Parameter definieren
Die Parameter definieren den Webservice, die Verwendung von Tabellen und Changing sind hier nicht vorgesehen. Die Import-Parameter bestimmen die Werte, die an den Webservice übergeben werden. In dem Bespiel die beiden Zahlen, die von unserem Programm addiert werden sollen. Die Parameter sollten Optional sein, damit man später das WSDL-Dokument (siehe unten) abrufen kann und als Wert übergeben werden.
5 / 279
rz10.de - die SAP Basis und Security Experten
Der Export-Parameter definiert die Rückgabe.
Diese Parameter müssen unbedingt vorher festgelegt werden und sollten sich später auch nicht mehr ändern, da ansonsten sich die ganze Webservice-Definition ändert und somit für Konsumenten nicht mehr nutzbar ist.
Das Programm
Das Programm sichern und aktivieren.
Webservice anlegen
Über einen Rechts-klick auf den Funktionsbaustein kann man einen Web Service Wizard starten.
6 / 279
rz10.de - die SAP Basis und Security Experten
7 / 279
rz10.de - die SAP Basis und Security Experten
8 / 279
rz10.de - die SAP Basis und Security Experten
Der Webservice ZTH_WS_TESTING ist damit definiert und einsatzbereit.
Service im SOAMANAGER browsen und WSDL-Link speichern
Bevor der Webservice durch andere Systeme genutzt werden kann, benötigen diese eine Beschreibung, wie und mit welchem Parametern der Webservice funktioniert. Diese Definition steckt in einem WSDL-Dokument und wird zum Konsumieren des Webservices im ABAP und anderen externen System benötigt. Die Transaktion SOAMANAGER öffnet einen Browser für den Zugriff auf das SOA-Management und bietet die Möglichkeit eine Download-URL für das WSDL-Dokument zu ermitteln.
9 / 279
rz10.de - die SAP Basis und Security Experten
Zunächst muss der neue Service selektiert werden.
Der markierte Link öffnet das WSDL-Dokument. Hinweis: Das Browserfenster wird unter Umständen im Hintergrund geöffnet.
10 / 279
rz10.de - die SAP Basis und Security Experten Die URL aus der Adressleiste speichern.
Den Webservice mit soapUI nutzen Das Webservice Testing Tool soapUI ist als OpenSource-Tool unter http://www.soapui.org/ verfügbar und bietet die Möglichkeit schnell einfacher Webservice Funktionstests durchzuführen. Ideal also, um unseren eben angelegten Webservice zu testen.
“New soapUI Project” auswählen und in dem Dialog die vorher gespeicherten WSDL-URL einfügen.
Technischen User angeben.
Es sollen die Zahlen 200 und 400 addiert werden. Wichtig ist etwaige Kommentare wie z.B. zu entfernen. Diese können beim Aufruf des Webservices Probleme bereiten.
11 / 279
rz10.de - die SAP Basis und Security Experten
Über den Button “Auth” am unteren Rand müssen die Benutzerdaten für den Aufruf hinterlegt werden.
Auf “Submit Request” links oben gehen. Die Antwort des Webservices (die Summe der beiden Zahlen) erscheint danach auf der rechten Seite. Damit ist der Webservice erfolgreich getestet!
Verwandte Beiträge SSL Webservices im SAP nutzen SAP Basis und SAP Security Berater von RZ10 buchen SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed
12 / 279
rz10.de - die SAP Basis und Security Experten
Abfrage von mehreren SAP Tabellen über den Quickviewer von Tobias Harmes - Beitrag vom 19. April 2012
Letzte Woche habe ich in dem Artikel Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen das Thema Abfrage von Tabelle mit dem QuickViewer erwähnt. Hier eine kurze Anleitung wie man eine entsprechende Abfrage bauen kann.
Hat man die entsprechenden Beziehungen der Tabellen ermittelt, kann man dann relativ bequem Join-Queries über die Transaktion SQVI machen. Das Beispiel soll die durch Rollen zugewiesenen Organisationsebenen eines Benutzers anzeigen. Diese Daten stehen in den Tabellen AGR_USERS und AGR_1252.
Title für QuickView anlegen und als Datenquelle “Table join” auswählen
Alle relevanten Tabellen einfügen.
13 / 279
rz10.de - die SAP Basis und Security Experten
Bereits erkannte Fremdschlüsselbeziehungen werden automatisch dargestellt.
Jetzt kann man die Felder der Ergebnistabelle auswählen.
14 / 279
rz10.de - die SAP Basis und Security Experten
Danach wählt man aus, welche Selektionsfelder für die Eingrenzung der Ergebnisse verfügbar sein sollen.
Mit Ausführen kann man für den gewählten Benutzer…
… alle Rollen und Organisationsebenen ausgeben.
Verwandte Beiträge SAP Tabellen für Transaktionen, Berechtigungsobjekte und Berechtigungsfelder Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen
15 / 279
rz10.de - die SAP Basis und Security Experten
16 / 279
rz10.de - die SAP Basis und Security Experten
Abgebrochene Verbuchungssätze löschen - SM13 von Tobias Harmes - Beitrag vom 11. Februar 2014
Oft genug kommt es vor, dass ein Verbuchungsauftrag fehlschlägt. Verbuchungen werden in der Regel gemonitort und Abbrüche werfen entsprechend eine Alarmmeldung. Die Ursachenforschung für den Abbruch obliegt normalerweise der Fachabteilung. Diese bestimmt im Endeffekt auch, ob der Verbuchungsauftrag nachverbucht werden soll oder ob der Verbuchungssatz gelöscht werden kann. Den letzten Fall möchte ich Ihnen in diesem Beitrag näher bringen und Ihnen zeigen, wie Sie den richtigen Verbuchungssatz (engl. update record) anhand des Verbuchungsschlüssels finden und löschen können. Rufen Sie dazu zuerst die Transaktion SM13 – Verbuchung auf. Im Einstiegsfenster sehen Sie eine Reihe von Selektionskriterien für die Verbuchungssätze, die Sie sich anzeigen lassen möchten. Um die Anzahl der gefundenen Verbuchungsaufträge möglichst gering und damit übersichtlich zu halten, sollten Sie alle Ihnen bekannten Informationen nutzen um die Auswahl einzuschränken. Da wir nach abgebrochenen Verbuchungssätzen suchen, sollten Sie aber mindestens bei Status Abgebrochen auswählen und das Datum anpassen. Standardmäßig steht dort das aktuelle Datum drin (s. Abbildung 1). Die Selektion starten Sie mit dem Ausführen-Button
bzw. mit der Taste F8.
17 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 1: Einstiegsbild Verbuchungsaufträge Als nächstes sehen Sie die gefundenen Verbuchungssätze, die zu Ihren Kriterien passen. An dieser Stelle ist oft noch nicht erkennbar, welcher Verbuchungssatz gelöscht werden soll. Jeder dieser Verbuchungssätze hat einen eigenen Verbuchungsschlüssel. Sollen also nicht alle sondern nur spezifische Verbuchungssätze gelöscht werden, dann muss auch der Verbuchungsschlüssel oder auch mehrere bekannt sein. Sollte an dieser Stelle bereits bekannt sein, welcher Verbuchungssatz gemeint ist, dann können Sie diesen mit dem Selektionskästchen markieren (die komplette Zeile, eine Spalte reicht nicht) und auf das Papierkorb-Symbol löschen (s. Abbildung 2).
klicken (oder Tastenkürzel Umsch+F2), um den Verbuchungssatz zu
Wenn Sie die Ihnen bekannten Verbuchungsschlüssel mit den Schlüsseln der Verbuchungssätze vergleichen wollen, dann können Sie sich den Verbuchungsschlüssel anzeigen lassen, indem Sie in eine der Spalten des Verbuchungssatzes doppelt klicken bzw. über die Buttons Verbuchungskopf (Strg+Umsch+F6) oder Verbuchungsmodule navigieren.
(F2) zu den entsprechenden Ansichten
18 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 2: Gefundene Verbuchungssätze Im Verbuchungskopf befindet sich der Verbuchungsschlüssel in der obersten Zeile (s. Abbildung 3).
19 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 3: Verbuchungskopf In der Ansicht der Verbuchungsmodule sehen Sie den Verbuchungsschlüssel über den einzelnen Modulen (s. Abbildung 4). In dieser Ansicht haben Sie ebenfalls die Möglichkeit den Verbuchungssatz zu löschen. Klicken Sie hierfür auf den Papierkorb oder benutzen Sie das Tastenkürzel Umsch+F2.
Abbildung 4: Verbuchungsmodule
20 / 279
rz10.de - die SAP Basis und Security Experten Egal, ob Sie den Verbuchungssatz aus der Übersicht oder aus der Modulansicht löschen wollen, in jedem Fall kommt eine entsprechende Abfrage, die Sie bestätigen müssen, um mit dem Löschen fortzufahren.
Abbildung 5: Löschen bestätigen Damit haben Sie den Verbuchungssatz gelöscht und er taucht nicht mehr in der Auflistung auf. Auf diese Art können Sie jetzt auch weitere Verbuchungssätze löschen. Seien Sie aber aufmerksam beim Löschen und vergleichen Sie die Verbuchungsschlüssel genau, weil sie sich oft ähneln. Einmal gelöschte Verbuchungssätze können nicht mehr hergestellt werden. Ich freue mich auf Ihr Feedback.
Verwandte Beiträge Massenlöschen von Rollen SAP Basis und SAP Security Berater von RZ10 buchen
21 / 279
rz10.de - die SAP Basis und Security Experten
Anmeldesprache für SAP Dialogbenutzer festlegen von Tobias Harmes - Beitrag vom 27. April 2012
Es gibt zwei Möglichkeiten die Anmeldesprache in einem SAP System zu setzen. Systemweite Anmeldesprache
Diese wird schon sichtbar, wenn man im Anmeldebildschirm eines Applikationsservers steht und gilt auch als Dialogsprache für alle Anwender.
Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail
[email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Die dazugehörigen Profil-Parameter lauten:
22 / 279
rz10.de - die SAP Basis und Security Experten Parametername zcsa/system_language
Beispielwert E
zcsa/second_language
D
zcsa/installed_languages
DE
Bedeutung Logon-Sprache und StandardSprache für alle Dialoguser Wenn Textelemente in der gewählten Sprache nicht verfügbar sind, dann kann man hier die “Fallback”-Sprache definieren. In der Regel ist diese E oder D für Englisch oder Deutsch Anmeldesprachen eines Applikation-Servers
Den Wert des Parameters dazu kann man am Besten über das Programm RSPARAM in der SA38 ermitteln, dabei auch den Haken “unsubstituierte anzeigen” anwählen. Änderungen erfordern den Neustart des Applikationsservers.
Benutzerdefinierte Anmeldesprache
Diese kann man im Benutzerstammsatz ändern über die Transaktion SU01 im Reiter Festwerte.
Möchte man die Anmeldesprache für mehrere Benutzer ändern kann man die SU10 (Massenänderung) verwenden. Die notwendige Userliste muss man dann allerdings ggf. über die Tabelle USR01 (Feld LANGU) erzeugen, denn in der SU10 kann man leider nicht nach derzeitig gesetzter Anmeldesprache filtern.
Installierte Sprachen
23 / 279
rz10.de - die SAP Basis und Security Experten
Es können nur Sprachen ausgewählt werden, die auch installiert sind, siehe dazu Transaktion SMLT. Deutsch und Englisch sind aber eigentlich immer drin ;-).
Weitere Links: System language change http://scn.sap.com/thread/851250
Verwandte Beiträge Download von SAP Sprachpaketen SAP Benutzertypen richtig verwenden Sprachpakte in SAP aktivieren - select one of the installed languages SAP Basis und SAP Security Berater von RZ10 buchen
24 / 279
rz10.de - die SAP Basis und Security Experten
25 / 279
rz10.de - die SAP Basis und Security Experten
ANST - Werkzeug für die automatisierte Hinweissuche von Armin Kern - Beitrag vom 24. Februar 2014
Überblick: Theorie In diesem Blogbeitrag stelle ich Ihnen das Automated Note Search Tool, kurz ANST vor. Neben einem Rundumüberblick über die Funktionalität des Werkzeugs dient dieser Beitrag außerdem als Sammlung der bisher zum ANST erschienenen Hinweise. Am Ende finden Sie einen Link auf ein interaktives Tutorial. Bei ANST handelt es sich um ein Werkzeug, das basierend auf dem Prozess-Trace Hinweise mit Korrekturanleitungen sucht. Wenn Sie in ihrem System auf ein Problem stoßen, reproduzieren Sie dieses mit Hilfe der Transaktion. Das Ergebnis ist eine Liste aller relevanten SAP Hinweise.
Ein Großer Vorteil gegenüber der herkömmlichen Hinweissuche besteht darin, dass nur für das aktuelle Release und Support-Package-Level relevante Hinweise in der Ergebnisliste enthalten sind. Das bedeutet, dass jeder Hinweis ein Problem in ihrem System löst. Sie müssen nur noch herausfinden, welcher Hinweis genau ihr vorliegendes Problem löst.
Welche Objekte bei der Suche berücksichtig werden, entscheiden Sie anhand von Einstellungen innerhalb der Transaktion.
Das Werkzeug erlaubt Ihnen außerdem, eigenen Quelltext, zum Beispiel in Form von BAdIs, UserExits und BTEs, in die Suche mit einzubeziehen.
Voraussetzungen Ob Sie das Werkzeug verwenden können, finden Sie am einfachsten heraus, indem Sie mittels Transaktionscode ANST_SEARCH_TOOL versuchen, die Transaktion auszuführen. Welches Support Package Sie für die SAP-Basis-Komponente benötigen, um das Werkzeug nutzen zu können, entnehmen Sie bitte folgender Tabelle.
Softwarekomponente SAP_BASIS SAP_BASIS SAP_BASIS SAP_BASIS
Release 700 701 702 731
Support Package SAPKB70028 SAPKB70113 SAPKB70213 SAPKB73106
Übrigens: Ab den Support Package Leveln, die Sie der nachfolgenden Tabelle entnehmen können, wurde der Transaktionscode von ANST_SEARCH_TOOL auf ANST verkürzt.
26 / 279
rz10.de - die SAP Basis und Security Experten
Softwarekomponente SAP_BASIS SAP_BASIS SAP_BASIS SAP_BASIS SAP_BASIS
Release 700 701 702 740 731
Support Package SAPKB70030 SAPKB70115 SAPKB70215 SAPKB74005 SAPKB73111
Überblick: Praxis Schauen wir uns die Transaktion einmal an. Die Oberfläche ist unterteil in drei Bereiche. Die Menüleiste, Ausführungsdaten und Trace-Parameter. Anhand der Nummerierung in der Abbildung werde ich Ihnen die einzelnen Elemente kurz vorstellen.
1. Ausführen der unter Ausführungsdaten angegebenen Aktion. 2. Programmdokumentation: Ausführliche Beschreibung der Grundfunktionalität. 3. Gesicherte Traces können nachträglich ausgewertet werden. So kann beispielsweise ein Anwender, der auf einen Fehler stößt, diesen mittels ANST replizieren. Der für den Support zuständige Mitarbeiter kann den Trace unter Angabe des Benutzernamens und/oder des Datums den Trace öffnen, ohne den Fehler selbst replizieren zu müssen. Meiner Meinung nach ein zentraler Vorteil des Tools! 4. Das Objekt-Customizing erlaubt es, Objekte in die Suche ein- oder aus der Suche auszuschließen. 5. Unter Einstellungen finden Sie eine weitere Customizing-Tabelle, in der unter anderem eingestellt werden kann, ab welchem Datum Hinweise berücksichtigt werden und welche Kundenerweiterungen in die Suche einbezogen werden. Als RFC-Destination muss SAPSNOTE eingetragen sein. 6. Hier können Sie aufgezeichnete Traces löschen. Ein aufgeräumtes System erleichtert die
27 / 279
rz10.de - die SAP Basis und Security Experten 7. Wählen Sie die gewünschte Aktion aus und tragen Sie den Transaktions-, Programm- oder Anwendungsnamen ein. 8. Die Beschreibung und das Sichern der Trace sind optional. Sollten Sie die Trace sichern, empfiehlt sich eine kurze Beschreibung um die Trace wieder zu finden.
Wir führen nun die oben dargestellte Aktion aus. Im Hausbankenstamm möchten wir eine IBAN ändern. Um die Eingabe zu vereinfachen, schalten wir die Eingabeart um.
Nachdem wir die neue IBAN gepflegt haben, möchten wir die Eingabeart erneut umschalten, um die IBAN einfacher überprüfen zu können.
28 / 279
rz10.de - die SAP Basis und Security Experten
Beim Wechsel der Ansicht wird die Änderung jedoch verworfen, die alte IBAN wird wieder angezeigt. Zwar erhalten wir hier keine explizite Fehlermeldung, dennoch hilft uns ANST, falls ein Hinweis dazu existiert, diesen zu finden. Wir schließen das Popup und springen zurück, bis wir wieder im ANST sind. Das Werkzeug listet uns nun, aufgetrennt nach Anwendungskomponente, alle durchlaufenen Objekte auf, die im Objekt-Customizing selektiert sind.
Wir können alle Anwendungskomponenten in die Hinweissuche einbeziehen oder bis auf Objektebene selektieren, was in der Suche berücksichtigt werden soll. Die Zahl in Klammern sagt aus, wie viele Objekte der Komponente durchlaufen wurden.
Die Ergebnisliste der Hinweissuche: Mit Klick auf die Hinweisnummer öffnet sich der Hinweis im Browser (S-User erforderlich). Ein Doppelklick auf das Ausführen-Icon in der ersten Spalte erlaubt das direkte Herunterladen des Hinweises (Absprung in die Transaktion SNOTE).
29 / 279
rz10.de - die SAP Basis und Security Experten
Weitere Funktionen Neben der Hinweissuche können für jeden Trace auch der Quelltext des Kunden durchsucht sowie betroffene Customizing-Tabellen angezeigt werden. Beachten Sie, dass im Kundenquelltext nur die Objekte berücksichtig werden, die unter Einstellungen markiert sind. Die Customizing-Tabellen sind nach Anwendungskomponenten Doppelklick springen Sie direkt zur entsprechenden Tabelle.
aufgegliedert;
durch
einen
Relevante Hinweise Die Hinweissuche zu ANST_SEARCH_TOOL liefert derzeit 14 Treffer Nr. 1972513
Kurztext Freigegeben am ANST: Include-Objekte fehlen im 31.01.2014 Trace
1964231
ANST: FM ANST_TESTING_AGEN_ 27.01.2014 CHANGE_PARAM: Fehlerhafte Nachrichtenbehandlung
1944826
ANST: Keine Erkennung 17.01.2014 benutzerspezifischer User-Exits
1818192
FAQ: Werkzeug für die 08.01.2014 automatisierte Hinweissuche (inkl. Guide als PDF) Tips for using the Advanced 25.11.2013 Note Search Tool (ANST) in SRM
1945396
1918694
ANST: Inkorrekte Fehlermeldung 11.11.2013 bei fehlender Berechtigung
1916483
Auslief.klasse der ANST_CUST_OBJ, ANST_SETTINGS ändern
Tab. 17.10.2013
30 / 279
rz10.de - die SAP Basis und Security Experten 1909768
ANST001 Fatal Error. 26.09.2013 Customizing table is not filled
1915529
ANST: neuer Transaktionscode
1889975
ANST: Filtern d. Suchhilfe in 12.08.2013 CRM Webclient u. CRM BSP Frame
1885730
ANST: Trace des CRM WebClient 18.07.2013 abgebrochen
1862303
ANST: CRM WebClient does not 11.07.2013 work in French
1786566
Dynpros im 27.05.2013 Kundennamensraum entfernen
1778716
Erweiterte Anwendung Hinweissuche
25.09.2013
zur 18.02.2013
Interaktives Tutorial
Falls Sie über einen S-User verfügen, finden Sie hier ein interaktives, englischsprachiges Tutorial –
inklusive Quiz am Ende. Viel Spaß beim Entdecken
Verwandte Beiträge SAP Maintenance Optimizer: Support Package Level is unknown
31 / 279
rz10.de - die SAP Basis und Security Experten Automatische Prüfung für SAP Sicherheitshinweise SAP Basis und SAP Security Berater von RZ10 buchen
32 / 279
rz10.de - die SAP Basis und Security Experten
Ausplanen eines eingeplanten Importauftrags von Dominik Busse - Beitrag vom 20. März 2014
Um zu verhindern, dass ein via STMS eingeplanter Importauftrag zum gesetzten Termin importiert wird, muss dieser ausgeplant werden. Die Option zum Ausplanen eines eingeplanten Importauftrags befindet sich jedoch nicht in der STMS.
Ausgangssituation Die Ausgangssituation ist ein zum Import eingeplanter Transportauftrag in der STMS, welcher am Uhren-Icon in der letzten Spalte zu erkennen ist:
In der STMS finden Sie zwar eine Option zur Importeinplanung – eine Option zum Ausplanen von eingeplanten Importen befindet sich dort jedoch nicht. Tatsächlich verbirgt sich hinter einer Importeinplanung ein Job. Dementsprechend gelingt das Ausplanen des Imports nur, indem Sie den Job zum Import löschen. Die notwendigen Schritte beschreibe ich im folgenden Tutorial.
Den Jobnamen zum Ausplanen des Importauftrags herausfinden Den des Jobs zum Importauftrag dem Namen Transportauftrag in der Importqueueerhalten klicken: Sie, indem Sie doppelt auf das Uhren-Icon hinter
Es öffnet sich ein Dialog welcher Jobname und Jobnummer anzeigt. Orientieren Sie sich am Besten an der Jobnummer. In diesem Fall ist es Nummer 67:
Ausplanen eines bereits eingeplanten Importauftrags via SM37 Rufen Sie nun die SM37 (Einfache Jobauswahl) auf. In der Transaktion füllen Sie die Suchkriterien wie
33 / 279
rz10.de - die SAP Basis und Security Experten folgt:
Als Jobname geben Sie TMS* ein, da der Jobname des Importjobs immer mit “TMS” beginnt. Weiterhin grenzen Sie auf Ihren Benutzernamen ein, wählen für den Jobstatus Geplant und Freigegeben und grenzen den Zeitraum der Selektion durch die Jobstartbedingung ein. Als Ergebnis erhalten Sie alle Jobs, deren Jobname TMS enthält und die von Ihnen erstellt wurden. Sie erkennen den richtigen Job anhand des im vorherigen Schritt ermittelten Jobnamens bzw. anhand der enthaltenen Jobnummer (hier: Nummer 67):
Zum Ausplanen des Jobs markieren Sie diesen in der ersten Spalte. Nun wählen Sie in der Menüleiste Job – Freigegeben->Geplant, um vorerst nur die Freigabe des Jobs zurückzunehmen:
34 / 279
rz10.de - die SAP Basis und Security Experten
Anschließend können Sie den Job endgültig ausplanen, indem Sie den Job löschen. Hierfür markieren Sie den Job erneut in der ersten Spalten und wählen das Mülleimer-Icon. Den daraufhin erscheinenden Dialog bestätigen Sie mit Ja:
Um das Ergebnis der Ausplanung zu überprüfen, schauen Sie sich erneut den betroffenen Transportauftrag in der STMS an. Das Uhren-Icon, welches die Importeinplanung darstellt, ist nun verschwunden:
35 / 279
rz10.de - die SAP Basis und Security Experten
Das Ausplanen des eingeplanten Importauftrags war erfolgreich. Welche Erfahrungen haben Sie mit dem Ein- und Ausplanen von Importen gemacht? Welche Informationen wünschen Sie sich noch zu diesem Thema? Ich freue mich auf Ihre Kommentare und Ihr Feedback – gleich unterhalb dieses Beitrags!
Verwandte Beiträge TP Befehle zur Transportsteuerung Transportauftrag aus Importqueue löschen SAP Transport Status zurücknehmen Spool-Aufträge manuell löschen Transporteur zu SAP Transport ermitteln SYNCMARK blockiert Importqueue: wrong syntax in tp call Importeinplanung von Transportaufträgen via STMS
36 / 279
rz10.de - die SAP Basis und Security Experten
Authentifizierung und Verschlüsselung beim E-Mail-Versand von Florian Lucht - Beitrag vom 18. Dezember 2014
In einem früheren Beitrag hat Tobias Harmes gezeigt, wie der E-Mail-Versand über einen SMTPServer im SAP-System schnell eingerichtet ist. Seit Netweaver Version 7.3 EHP 1 wird nun auch die Möglichkeit der Authentifizierung und Verschlüsselung beim E-Mail-Versand mittels SSL/TLS unterstützt.
Die nötigen Einstellungen finden Sie, wie alle weiteren Angaben für die Einrichtung des Emailversands, in der Transaktion SCOT.
Falls Ihr SAP-System diese Möglichkeit noch nicht unterstützt (< 7.3 EHP1), empfehlen wir Ihnen folgende zwei Möglichkeiten: Die einfachste Variante besteht darin, den SMTP-Server als Relay für das SAP-System zu verwenden. Das heißt, aus dem SAP-System heraus können ohne Authentifizierung am Mailserver Nachrichten an jede E-Mail-Adresse verschickt werden. Eine Eingrenzung des Zieladressbereichs kann im SAPSystem selbst erfolgen. Der SMTP-Server fungiert also nur als Weiterleitung. Die Einstellungen hierfür müssen am Mailserver vorgenommen werden. Meist erfolgt dies über das Eintragen der IP-Adresse des SAP-Systems in einer entsprechenden Whitelist auf dem Mailserver (z.B. Exchange). Bedenken Sie, dass dies für jede Systemlinie, von der E-Mails versendet werden sollen, vorgenommen werden
37 / 279
rz10.de - die SAP Basis und Security Experten muss. Ein alternativer Ansatz besteht darin, zwischen SAP-System und Mailserver einen weiteren Service als „Vermittler“ einzurichten. Dieser nimmt die Nachrichten unverschlüsselt und ohne Authentifizierung aus dem SAP-System an und überträgt diese verschlüsselt an den Mailserver. Diese Möglichkeit bietet sich insbesondere für SAP-Systeme an, welche unter Linux laufen. Das Betriebssystem verfügt hier meist schon über passende Werkzeuge wie „sendmail “ oder „postfix“. Unter Windows wird zusätzliche Software benötigt, wie zum Beispiel hMailServer. Weiterführende Informationen: Hinweis 455140 – Konfiguration Email,Fax,Paging/SMS über SMTP Hinweis 607108 – Problemanalyse beim Versand oder Empfang von Emails
Verwandte Beiträge SAP Emailversand einrichten und testen SAP Basis und SAP Security Berater von RZ10 buchen CCMS-Alerts per E-Mail erhalten
38 / 279
rz10.de - die SAP Basis und Security Experten
Automatische Prüfung für SAP Sicherheitshinweise von Tobias Harmes - Beitrag vom 13. Mai 2014
Auch die SAP bleibt nicht von Sicherheitslücken verschont, wie der jüngst erschienene Blogbeitrag “SAP Heartbleed: Kein OpenSSL – kein Problem?” meines Kollegen Tobias Harmes zeigt. Glücklicher Weise reagiert die SAP sehr schnell auf diese Risiken und veröffentlich zeitnah SAP Hinweise, um die Sicherheitslücken zu schließen. Zusätzlich findet monatlich ein sogenannter Patch Day der SAP statt, zu dem auch sicherheitsrelevante SAP Hinweise veröffentlicht werden.
Doch die schnelle Reaktionszeit der SAP bleibt völlig wirkungslos, wenn die SAP Hinweise nicht zeitnah implementiert werden. Oft ist aber auch gar nicht bekannt, welche SAP Sicherheitshinweise im eigenen System bereits vorhanden oder notwendig sind. Wie Sie sich an dieser Stelle das Leben leichter machen können, werde ich Ihnen im Folgenden darlegen.
Nur ein Sicherheitsscan bringt keine Sicherheit. Wir erstellen individuelle SAP Security-Konzepte für Ihr Unternehmen und helfen bei der Behebung von Schwachstellen. Deshalb haben wir dafür auch ein passendes Angebot: Security-Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail
[email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Die SAP hat für diesen speziellen Fall ein eigenes Tool entwickelt, das Bestandteil der Software Komponente ST-A/PI ab Release 01M_* ist. Das Tool heißt RSECNOTE und wird über den SAP Hinweis 888889 im System implementiert. RSECNOTE untersucht ihr System nach bereits implementierten Sicherheitshinweisen und listet diese bzw. die noch zu implementierenden Sicherheitshinweise auf.
Wichtig ist, dass Sie die Implementierungs-/Konfigurationsschritte gemäß dem Hinweis durchführen und sich die Berechtigungen wie im Hinweis beschrieben vergeben, damit Sie das Tool fehlerfrei verwenden können.
39 / 279
rz10.de - die SAP Basis und Security Experten Nachdem Sie die Implementierung abgeschlossen haben, können Sie über die Transaktion ST13, in neueren Releases auch die Transaktion SA38, verwenden. Geben Sie dort, wie in der Abbildung dargestellt, jeweils im Eingabefeld das Programm RSECNOTE ein und führen Sie es aus.
Sie erhalten anschließend die schon angesprochene Liste mit implementierten bzw. noch zu implementierenden SAP Hinweisen.
40 / 279
rz10.de - die SAP Basis und Security Experten
Wie halten Sie Ihre Systeme sicherheitstechnisch auf dem neusten Stand? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge SAP Sicherheitslücke in der Transaktion SUIM ANST - Werkzeug für die automatisierte Hinweissuche SAP Heartbleed: Kein OpenSSL - kein Problem? Google Chrome Extension - SAP Any Search SAP Basis und SAP Security Berater von RZ10 buchen
41 / 279
rz10.de - die SAP Basis und Security Experten
42 / 279
rz10.de - die SAP Basis und Security Experten
Benutzerstammsätze exportieren und importieren von Silvia Scholer - Beitrag vom 16. Mai 2014
Wird ein Refresh auf einem System durchgeführt so ist es notwendig, die Benutzerstammsätze inklusive der zugewiesenen Profile (Berechtigungsrollen) zu exportieren und nach dem Refresh wieder zu importieren. Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail
[email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Dazu die Transaktion SCC8 (Mandantenexport) im jeweiligen Mandanten aufrufen. Als “Selektiertes Profil” SAP_USER auswählen um die Benutzerstämme mit den zugewiesenen Profilen zu exportieren. Bei anderen Profilen, wie beispielsweise SAP_ALL wird der ganze Mandant exportiert.
43 / 279
rz10.de - die SAP Basis und Security Experten
Beim Zielsystem wird das System mit dem Mandanten angegeben, in welches Transportverzeichnis des Zielsystems der Transportauftrag kopiert werden soll.
Nach Angabe der notwendigen Informationen kann der Export beginnen.
44 / 279
rz10.de - die SAP Basis und Security Experten
Es erscheint eine Übersicht, in der noch einmal kontrolliert werden kann, ob das richtige System und das richtige Profil (SAP_USER) gewählt wurde. In der nachfolgenden Abbildung werden die Profile mit den Benutzerdaten exportiert.
Als Information werden die Transportaufträge angezeigt, die für den Transport in der STMS notwendig sind. Diese müssen manuell in den Transportpuffer eingetragen werden um für den Import bereit zu stehen.
45 / 279
rz10.de - die SAP Basis und Security Experten
Über die Protokollanzeige kann überprüft werden, ob der Export erfolgreich war. Alternativ kann der Export über die SCC3 kontrolliert werden.
Durch Doppelklick auf die Zeile wird angezeigt wie viele Einträge exportiert werden.
46 / 279
rz10.de - die SAP Basis und Security Experten
Über die SCC8 können nicht nur Benutzerstämme und Profile sondern unter anderem auch ganze Mandanten (Profil SAP_ALL) in ein anderes System transportiert werden. Welche Erfahrungen haben Sie mit dem Export von Benutzerstämmen gemacht? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge Sind Ihre Organisationsebenen in Rollen richtig gepflegt? Mandantenübergreifende SAP Benutzerliste erstellen Mandantenkopie Zusätzliche Filter bei der SUIM-Abfrage hinzufügen SAP Basis und SAP Security Berater von RZ10 buchen
47 / 279
rz10.de - die SAP Basis und Security Experten
Betriebssystembefehle via Transaktion ausführen von Dominik Busse - Beitrag vom 17. Juni 2014
Sie haben keinen direkten Zugriff auf die Betriebssystem-Ebene eines SAP-Systems, möchten aber dennoch Betriebssystembefehle ausführen. Mit der folgenden Transaktion ist das Ausführen von Betriebssystembefehlen ohne direkten Betriebssystem-Zugriff möglich. Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail
[email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Die Transaktion SM49 ermöglicht das Ausführen externer Betriebssystembefehle aus dem SAPSystem heraus. Dabei können Sie einerseits auf vordefinierte Betriebssystembefehle zurückgreifen und andererseits weitere Betriebssystembefehle hinzufügen. Beide Szenarien werden im Folgenden erläutert.
Externe Betriebssystembefehle ausführen: Führen Sie zunächst die Transaktion SM49 – Externe Betriebssystemkommandos aus. Sie sehen eine Übersicht über alle vordefinierten Betriebssystembefehle:
48 / 279
rz10.de - die SAP Basis und Security Experten
Um einen Betriebssystembefehl auszuführen, klicken Sie doppelt auf den gewünschten Befehl. In diesem Beispiel wählen wir den Betriebssystembefehl PING aus. Es öffnet sich die Detailansicht des Befehls:
49 / 279
rz10.de - die SAP Basis und Security Experten
In der Detailansicht werden die Grundinformationen zum ausgewählten Befehl angezeigt – so zum Beispiel der Typ des Betriebssystems (z.B. Windows) auf dem der Befehl ausgeführt wird. Nach dem Klick auf Ausführen kann der Befehl weiter spezifiziert werden. Im Beispiel des Ping-Befehls muss schließlich noch eine IP-Adresse oder der Name eines Rechners als Parameter übergeben werden. Daraufhin kann der Befehl entweder direkt im Dialog ausgeführt werden [Ausführen (F8)] oder (zeitversetzt) im Hintergrund [Ausführen im Hintergrund (F9)]. Im Folgenden wird der Ping-Befehl direkt auf localhost ausgeführt:
50 / 279
rz10.de - die SAP Basis und Security Experten
Mit dem Klick auf Ausführen wird der Befehl direkt ausgeführt und die Ausgabe des Betriebssystembefehls wird angezeigt:
51 / 279
rz10.de - die SAP Basis und Security Experten
Weitere Betriebssystembefehle selbst definieren: Neben den vordefinierten Befehlen können Sie auch eigene/weitere Befehle – die im Rahmen des hinterlegten Betriebssystems möglich sind – definieren. Hierfür klicken Sie im Einstiegsbildschirm der Transaktion auf das Anlegen-Icon:
52 / 279
rz10.de - die SAP Basis und Security Experten
In dem Dialog zum Anlegen eines Betriebssystembefehls müssen Sie folgende Informationen hinterlegen: Kommandoname: Der Titel des definierten Befehls, welcher in der Übersicht im Einstiegsbildschirm angezeigt wird. Wichtig: Der Name eigens definierter Betriebssystembefehle muss im Kundennamensraum liegen und mit Z oder Y beginnen. Betriebssystem: Hier geben Sie das Betriebssystem an, auf welchem das SAP-System läuft. Wählen Sie hierfür das Feld aus und öffnen Sie die Wertehilfe mit F4. Anschließend können Sie ein bestimmtes Betriebssystem oder ANYOS auswählen, um den Befehl betriebssystemunabhängig zu hinterlegen. Betriebssystem-Kommando: Hier geben Sie den eigentlichen Betriebssystembefehl an, welcher ausgeführt werden soll. Parameter für Betriebssystem-Kommando: In diesem Feld können Sie feste Parameter hinterlegen, die mit dem Befehl ausgeführt werden sollen. Zusätzliche Parameter erlaubt: Setzen Sie den Haken, um zusätzliche Parameter beim Ausführen des Befehls zu erlauben. Zur Veranschaulichung zeigt der folgende Screenshot das beispielhafte Anlegen eines externen Kommandos für den Betriebssystembefehl help:
53 / 279
rz10.de - die SAP Basis und Security Experten
Letztendlich taucht der eigens definierte Betriebssystembefehl in der Übersicht im Einstiegsbild auf und kann wie oben beschrieben ausgeführt werden.
Sicherheitshinweis: Zugriff limitieren! Der Zugriff auf die SM49 und das Ausführen von Betriebssystembefehlen aus dem SAP-System heraus ist aus sicherheitstechnischer Sicht natürlich höchst kritisch und sollte deswegen sehr limitiert werden. Beim Öffnen der Transaktion und Ausführen von Befehlen werden die folgenden Berechtigungsobjekte geprüft:
54 / 279
rz10.de - die SAP Basis und Security Experten
Neben dem obligatorischen S_TCODE für das Ausführen der Transaktion an sich, ist hierbei das Berechtigungsobjekt S_LOG_COM interessant, welches beim Ausühren eines Betriebssystembefehls geprüft wird. Es besteht aus den drei Berechtigungsfeldern: COMMAND: In der Transaktion definierter Name des Betriebssystemkommandos OPSYSTEM: Betriebssystem des Zielsystems (bspw. WINDOWS NT, ANYOS, AIX, UNIX) HOST: Hostname des Zielsystems Über dieses Berechtigungsobjekt können Sie das Ausführen einzelner Betriebssystembefehle limitieren. Welche Erfahrungen haben Sie mit dem Ausführen und Anlegen von Betriebssystembefehlen über die SM49 gemacht? Gab es bereits Situationen, in denen Sie auf diese Möglichkeit zurückgreifen mussten? Ich freue mich auf Ihre Kommentare und Antworten!
Verwandte Beiträge SAP Speichermodell in Windows Umgebungen TP Befehle zur Transportsteuerung Netzwerkverbindungen aus dem SAP testen Betriebssyteminformationen aus dem SAP heraus analysieren
55 / 279
rz10.de - die SAP Basis und Security Experten SAP Basis und SAP Security Berater von RZ10 buchen
56 / 279
rz10.de - die SAP Basis und Security Experten
Betriebssyteminformationen aus dem SAP heraus analysieren von Tobias Harmes - Beitrag vom 13. Februar 2012
Externes Hosting und Funktionstrennung machen mittlerweile die Suche nach Ursachen für Performance Engpässe zu einer Aufgabe mit vielen Beteiligten. Es gibt aber durchaus einige SAP Transaktionen, mit denen man auch ohne Root-Prompt und Zugriff auf den Solution Manager Informationen über den Teil unterhalb des ABAP Stacks sammeln kann. OS07N Operating System Monitor (neu)
DieOS07N (Report RSHOST1N) bietet eine schnelle Übersicht über Betriebssysteminformationen und Speicherauslastung. Vor allem aber kann man schnell zwischen den Applikationsservern hin und her springen und so sich einen guten Überblick über alle beteiligten Systeme verschaffen. Die Daten basieren auf Informationen die via CCMS und dem saposcol (Operating System Collector) eingesammelt werden.
ST06 – Operating System Monitor (alt)
Da vor allem die historischen Werte in der OS07N oft nicht abrufbar sind und erst konfiguriert werden müssen, leistet die ST06 weiterhin gute Dienste. Tipp: Auf den jeweiligen Applikationsserver kann man über die SM51 springen: Doppelklick auf den Applikationsserver öffnet einen neuen Modus auf dem Applikationsserver.
57 / 279
rz10.de - die SAP Basis und Security Experten
Daily Averages – Last 30 Days erlaubt einen Überblick über die letzten 30 Tage. Über Details kann man sich dann wiederumm die Details für einen Tag auswählen.
58 / 279
rz10.de - die SAP Basis und Security Experten Wenn man “More information” auswählt kann man durch die verschiedenen Sichten CPU, Memory, Disk times, LAN, Filesystem statistics durchschalten.
Report RSBDCOS0 – Betriebssystemkommandos ausführen
Mit dem Report RSBDCOS0 kann man Befehle auf Betriebssystemebene absetzen – allerdings im Kontext des SAP System-Users. Also zum Beispiel
adm oder SAPService. Dort gehen dann natürlich nur Befehle die keine root/Administrator-Berechtigungen benötigen.
Verwandte Beiträge Die neue SAP Transaktion SU53 - Zu Risiken und Nebenwirkungen… Systemauslastung aufzeichnen und analysieren Betriebssystembefehle via Transaktion ausführen
59 / 279
rz10.de - die SAP Basis und Security Experten
brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set von Timo Eckhardt - Beitrag vom 28. Oktober 2013
Ein Backup mit brtools schlägt mit folgendem Hinweis fehl: ORA-01149: cannot shutdown – file 1 has online backup set
Ein zuvor gestartetes Backup wurde nicht vollständig abgeschlossen. Auf Betriebssystemebene überprüfen ob noch ein brbackup Prozess läuft: ps -ef|grep brbackup Wenn man brbackup manuell ausführt erhält man folgende Fehler: BR0051I BRBACKUP 7.20 (17) BR0055I Start of database backup: bhekdmo.anf 2013-10-28 08.41.38 BR0484I BRBACKUP log file: /oracle//sapbackup/bhekdmo.anf BR0477I Oracle pfile /oracle//112_64/dbs/init.ora created /oracle//112_64/dbs/spfile.ora
from
spfile
BR0280I BRBACKUP time stamp: 2013-10-28 08.41.39 BR0319I Control file copy created: /oracle//sapbackup/cntrl.dbf 19546112 BR0328E Database file /oracle/SID/sapdata1/system_1/system.data1 of tablespace SYSTEM is already in backup status BR0328E Database file /oracle//sapdata1/sysaux_1/sysaux.data1 of tablespace SYSAUX is already in backup status BR0328E Database file /oracle//sapdata1/undo_1/undo.data1 of tablespace PSAPUNDO is already in backup status BR0328E Database file /oracle//sapdata1/datdb_1/datdb.data1 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/keymap_1/keymap.data1 of tablespace PSAPKEYMAP is already in backup status BR0328E Database file /oracle//sapdata1/datdb_2/datdb.data2 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/datdb_3/datdb.data3 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/datdb_4/datdb.data4 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/datdb_5/datdb.data5 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/datdb_6/datdb.data6 of tablespace PSAPSR3 is already in backup status BR0328E Database file /oracle//sapdata1/datdb_7/datdb.data7 of tablespace PSAPSR3 is already in backup status
60 / 279
rz10.de - die SAP Basis und Security Experten BR0056I End of database backup: bhekdmo.anf 2013-10-28 08.41.40 BR0280I BRBACKUP time stamp: 2013-10-28 08.41.40 BR0054I BRBACKUP terminated with errors ######################################################## ####################### BR0292I Execution of BRBACKUP finished with return code 3
BR0280I BRTOOLS time stamp: 2013-10-28 08.41.40BR0668I Warnings or errors occurred – you can continue to ignore them or go back to repeat the last action Diese Fehlermeldung zeigt, welche tablespaces sich noch im backup status befinden, diese müssen manuell festgelegt werden. Folgende Optionen können durchgeführt werden um den Fehler zu lösen: überprüfen ob im Verzeichnis oracle//sapbackup eine Sperrdatei liegt, falls ja muss diese entfernt werden Nun muss man manuell den backup status auf backup end setzen, sodass danach ein Backup durchgeführt werden kann
SQL> select status from v$backup; STATUS – ACTIVE ACTIVE ACTIVE ACTIVE ACTIVE ACTIVE ACTIVE ACTIVE *** rows selected.
–> Hier sieht man, dass der Backup Status noch auf active gesetzt ist. Um den Status manuell zu ändern, muss man für jeden tablespace folgenden Befehl absetzen: SQL> alter tablespace PSAPSR3 end backup; Output> Tablespace altered.
Zur Kontrolle kann man noch einmal folgenden Befehl ausführen. Hier sollte überall der Status “NOT ACTIVE” stehen
61 / 279
rz10.de - die SAP Basis und Security Experten SQL> select status from v$backup; STATUS – NOT ACTIVE NOT ACTIVE NOT ACTIVE NOT ACTIVE NOT ACTIVE NOT ACTIVE NOT ACTIVE NOT ACTIVE *** rows selected.
Nun kann man manuell erneut ein Backup anstarten und man wird sehen, dass das Backup ohne den oben aufgeführten Fehler erfolgreich gestartet werden kann.
Verwandte Beiträge SAP Oracle Listener startet nicht Ändern der SAP Job Benutzer Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS
62 / 279
rz10.de - die SAP Basis und Security Experten
CCMS-Alerts per E-Mail erhalten von Dominik Busse - Beitrag vom 25. September 2014
In diesem Tutorial möchte ich erläutern, wie Sie als SAP Basisadministrator den CCMS-Alert-Monitor konfigurieren, um CCMS-Alerts per E-Mail zu erhalten. Das SAP-eigene Überwachungstool Computing Center Management System Monitor (CCMS-Monitor) ist ein mächtiges Tool zum Überwachen des eigenen SAP-Systems. Um schnell auf (kritische) Ereignisse reagieren zu können, können Sie den CCMS-Monitor so konfigurieren, dass Sie CCMSAlerts per E-Mail erhalten, sobald der Monitor Alarm schlägt.
In diesem Tutorial zeige ich, wie Sie E-Mail-Benachrichtigungen für einzelne Monitoring Tree Elements (MTE) aktivieren können.
CCMS-Alerts per E-Mail erhalten – die Konfiguration: Melden Sie sich zunächst im zu überwachenden System an und rufen Sie die Transaktion RZ20 auf. Sie erhalten eine Übersicht über Ihre CCMS-Monitorsammlung. Wählen Sie dann einen Monitor durch Doppelklick aus:
63 / 279
rz10.de - die SAP Basis und Security Experten
Anschließend haken Sie das MTE an, für welches Sie CCMS-Alerts per E-Mail erhalten möchten und klicken auf Eigenschaften:
64 / 279
rz10.de - die SAP Basis und Security Experten
Auf dem Reiter Methoden können Methoden für automatische Reaktionen definiert werden. Wechseln Sie nun auf den Reiter Methoden:
65 / 279
rz10.de - die SAP Basis und Security Experten
Klicken Sie nun auf den Button Methodenzuordnung (siehe Bild oben) und wechseln Sie dann auf den Karteireiter Autoreaktion und aktivieren Sie den Änderungsmodus:
66 / 279
rz10.de - die SAP Basis und Security Experten
Im Bildschirmbereich Methodenzuordnung wählen Sie Methodenname aus, klicken in das Textfeld und rufen via F4 die Wertehilfe auf. Es erscheint eine Liste aller verfügbaren Methoden. Um CCMS-Alerts per E-Mail zu erhalten benötigen wir die Methode CCMS_OnAlert_Email bzw. CCMS_OnAlert_Email_V2. Letztere unterscheidet sich insofern, als dass initial mehr Parameter zur Konfiguration der versendeten E-Mail bereitgestellt werden.
67 / 279
rz10.de - die SAP Basis und Security Experten
Ein Doppelklick auf den Methodennamen im Textfeld öffnet die Konfiguration der Methode. Auf dem Karteireiter Parameter können Sie den CCMS-Alert per E-Mail konfigurieren:
68 / 279
rz10.de - die SAP Basis und Security Experten
Die Parameter der Methode CCMS_OnAlert_Email_V2 im Detail: SENDER: SAP-Benutzer der Person, in dessen Namen die E-Mail versendet wird. RECIPIENT: SAP-Benutzername, Verteilerliste oder externe E-Mail-Adresse. Falls Sie eine E-Mail an mehrere externe E-Mail-Adressen versenden möchten, müssen Sie zunächst einen Verteiler im Mandant 000 anlegen. Falls der angegebene SAP-Benutzername nicht im Mandant 000 existiert, müssen Sie zusätzlich System und Mandant wie folgt angeben: SYSTEM:MANDANT:USERID (z.B. S1D:100:BUSSE). RECIPIENT-TYPEID: Kennzeichen für den Adresstyp in Abhängigkeit des angegeben RECIPIENT. “U” für externe Internetadresse, “C” für Verteilerliste, “B” für SAP-Benutzername. REACT_ON_ALERTS: Optionaler Parameter mit welchem Sie zusätzlich steuern können, in welchen Fällen die E-Mail versandt wird. Mögliche Werte sind YELLOW oder RED. SUBJECT_ALERT: Betreffzeile der CCMS-Alert-E-Mail. SUBJECT_ALERT_CONT: Inhalt der CCMS-Alert-EMail. Wenn Sie alle Parameter gepflegt haben, klicken Sie auf Speichern und die Methode ist aktiv. Beim nächsten Alarm sollten Sie zur der betreffenden MTE CCMS-Alerts per E-Mail erhalten. Haben Sie bereits Erfahrungen mit dieser Autoreaktionsmethode gesammelt? Vielleicht haben Sie ja
69 / 279
rz10.de - die SAP Basis und Security Experten Tipps für MTEs, bei denen ein CCMS-Alert per E-Mail besonders sinnvoll/praktisch ist? Ich freue mich auf Ihre Kommentare und Ihr Feedback!
Verwandte Beiträge SAP Emailversand einrichten und testen Überwachungspause im Solution Manager für ein System einplanen Einrichten des Alertings mittels Solution Manager Fehlerhafte Darstellung der Alert Inbox Authentifizierung und Verschlüsselung beim E-Mail-Versand
70 / 279
rz10.de - die SAP Basis und Security Experten
Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt von Tobias Harmes - Beitrag vom 3. Mai 2012
Nach einem Upgrade von R/3 4.7 auf ECC 6.0 werden im EarlyWatchAlert keine Informationen über die Datenbankgröße mehr angezeigt. Das ERP-System läuft mit einem SQL Server 2005. In der neuen Transaktion DBACOCKPIT wird der Fehler “SQL-Fehler 208 Invalid object name ‘sap_tabstats'” gemeldet, wenn man die Tabellenstatistiken aufruft. Der Hinweis 1027512 enthielt den richtigen Wink: Die Jobkonfiguration für die neue Datensammelmethode für die Tabellengrößenhistorie können Sie über “DBACOCKPIT -> Platz -> Historie -> Tabellengrößenhistorie -> Job-Konfiguration” aufrufen. […] Der Name des SQL-Agent-Jobs lautet SAP CCMS___Update_Tabstats. Genau dieser Job (im Enterprise Manager unter SQL Server Agent>Jobs einsehbar) ist permanent auf einen Fehler gelaufen. Der Grund dafür war, dass die unterliegende Datenbank noch mit einem Default-Schema dbo arbeitet. Zu sehen war das auch an den Job-Namen: CCMS_dbo__*. Allerdings gab es für den Datenbankuser dbo keinen Login.
Lösung hierfür: Einen neuen Security Login ‘dbo’ anlegen. Die Schwierigkeit dabei war, dass in der SAP Datenbank bereits ein User dbo vorhanden war, und daher kein User Mapping auf den Datenbankuser angelegt werden durfte. Dies kann man allerdings erreichen in dem man folgendes SQL-Script ausführt (ersetze durch die eigene SID), und damit den User dbo zum Datenbankowner der SAP Datenbank macht: use exec sp_changedbowner ‘dbo'; go In den Eigenschaften des Login-Users dbo kann man dann prüfen, dass das User Mapping korrekt auf SAP Datenbankuser dbo mit Default Schema dbo konfiguriert ist.
71 / 279
rz10.de - die SAP Basis und Security Experten
Danach konnte der Job direkt unter SQL Server Agent>Job>CCMS___Update_Tabstats ausgeführt werden und die Tabellenstatistiken werden nun wieder korrekt angezeigt.
Verwandte Beiträge TREX Monitoring mit Solution Manager Diagnostics SAP NW IdM 7.1 – Hinzufügen eines JDBC-Treibers zum Dispatcher SDCCN manuell konfigurieren
72 / 279
rz10.de - die SAP Basis und Security Experten
Download von SAP Sprachpaketen von Tobias Harmes - Beitrag vom 8. Mai 2011
SAP bietet für viele verschiedene Sprachen Unterstützung an. Möchte man z.B. eine neue Sprache in das System importieren kann dafür die Transaktion SMLT (Sprachenmanagement) genutzt werden. Zum Finden des Downloadpakets muss zunächst der SAP Language code ermittelt werden, z.B. auf der Globalization-Unterseite: https://service.sap.com/languages Auf der Seite werden alle unterstützten Sprachen aufgeführt. Wählt man eine an, so erhält man den “ISO Code (2-Letter, for System Logon) “, ein zwei-Buchstaben Kürzel. Bei Tschechisch z.B. ist dieser zum Beispiel “CS” und nicht etwa “CZ”. Mit dieser Information kann man dann wie gewohnt in das Downloadcenter gehen (https://service.sap.com/swdc ) und unter “Installation and Upgrades” nach der eingesetzten Software suchen. Dort werden dann z.B. bei NetWeaver auch die Sprachen-CDs mit aufgeführt. Wenn der ISO Code nicht schon mit Strg+F auf der Seite zu finden ist, muss man ggf. dem “Info”-Link der Sprachen-CDs folgen. Dort steht auch, ob es sich um ein multi-archiv handelt. In dem Fall muss man alle Sprachen-CDs/Archive herunterladen, um sie gemeinsam zu entpacken.
Siehe auch Hinweis 330104.
Verwandte Beiträge Sprachpakte in SAP aktivieren - select one of the installed languages Anmeldesprache für SAP Dialogbenutzer festlegen
73 / 279
rz10.de - die SAP Basis und Security Experten
74 / 279
rz10.de - die SAP Basis und Security Experten
Dumps nach Abbruch der SPAM von Timm Funke - Beitrag vom 16. September 2011
Beim Einspielen von SAP Support Packages bricht die SPAM ab oder der Client verliert die Verbindung zum SAP System.
Das Fehlerbild ist dann abhängig davon, in welcher Phase dies geschehen ist. Mir ist es gerade im Main Import passiert.
Meldet man sich nun wieder am SAP System an, wird man von einer Vielzahl Dumps freundlich begrüßt
Ein Aufruf der SPAM führt ebenfalls zu Dumps (Laufzeitfehler: SYNTAX_ERROR).
Das SLOG (usr/sap/trans/log/SLOG.SID) sah so aus:
STOP MAIN IMPORT I 20110915141958 SAPUSER 20110915123207347 ERROR: stopping on error 12 during MAIN IMPORT HALT 20110915141958 ERROR: uncaught internal error: ORA-03114: not connected to ORACLE ERROR: EXIT(16) -> process ID is: 18929 STOP imp all 0016 20110915141958 SAPUSER 20110915123207347 START MAIN IMPORT I 20110915144329 adm 20110915144329001bdd START MAIN IMPORT I 20110915144355 adm 20110915144355001c4a ERROR SAPKB70207 20110915144355001c4a
I
0012
20110915144630
SAPUSER
adm
STOP MAIN IMPORT I 20110915144632 adm 20110915144355001c4a ERROR: stopping on error 12 during MAIN IMPORT In diesem Fall muss man das Einspielen der Support Packages von Hand über das Betriebssystem vornehmen:
tp R3I all pf=/usr/sap/trans/bin/TP_DOMAIN_.PFL tag=spam -Dclientcascade=yes -Dstoponerror=8 -Drepeatonerror=8 -Dsourcesystems= -Dtransdir=/usr/sap/trans
75 / 279
rz10.de - die SAP Basis und Security Experten Mit diesem Befehl wird dann die komplette Queue neu importiert.
Bricht der Befehl ab, sollte man ihn zuerst noch einmal wiederholen.
Anschließend kann man die SPAM wieder aufrufen und die Nacharbeiten des Imports ausführen lassen, in dem man die Queue dort wieder einspielt.
Ist der Abbruch nur bei einem Paket passiert, kann man sich auch erst den Buffer anzeigen lassen:
tp showbuffer pf=/usr/sap/trans/bin/TP_DOMAIN_SCD.PFL tag=spam
und anschließend eben jenes Packet von Hand einspielen: tp R3I SAPKB70207 pf=/usr/sap/trans/bin/TP_DOMAIN_.PFL tag=spam –Dclientcascade=yes -Dstoponerror=8 -Drepeatonerror=8 -Dsourcesystems= -Dtransdir=/usr/sap/trans
Verwandte Beiträge Laufzeitfehler DDIC_TYPELENG_INCONSISTENT SYNCMARK blockiert Importqueue: wrong syntax in tp call
76 / 279
rz10.de - die SAP Basis und Security Experten
Fehler "unable to save the local file information" im SAP Download Manager von Tobias Harmes - Beitrag vom 25. August 2011
Heute begrüßte mich der SAP Download Manager auf einem unserer Server mit der Information “Unable to save the local file information: the store file could not be found.” Leider kannte die XSEARCH der SAP zwar diese Fehlermeldung, aber keine Lösung.
Nach mehreren Neuinstallationen und auch einer Neuinstallation der Java JRE (32 Bit!) war die Fehlermeldung immer noch da. Damit war klar: ich brauche den ProcessMonitor von Sysinternals, um dem Problem auf die Spur zu kommen. Und siehe da, der Trace zeigte, dass der Download Manager ein “ACCESS DENIED” beim Anlegen der Datei dlclient.localstate bekommen hat.
Nachdem ich diese Datei gelöscht hatte, hat der SAP Download Manager wieder ordnungsgemäß funktioniert.
Verwandte Beiträge Effizientes Application Lifecycle Management mit dem SAP Solution Manager 7.1 Pakete im Download Basket bestätigen ohne MOPZ SAP Kernel Update durchführen
77 / 279
rz10.de - die SAP Basis und Security Experten
78 / 279
rz10.de - die SAP Basis und Security Experten
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO von Timm Funke - Beitrag vom 26. Juni 2011
Für ein SAP NetWeaver Portal soll SSO eingerichtet werden. Die Userverwaltung (UME) ist dabei an einen ABAP Stack angebunden. Auf Basis des SPNEGO CONFIGURATION GUIDE der SAP wurde SPNEGO konfiguriert. Dabei ist zu beachten, dass es ab Netweaver 7.01 SP8 ein neueres SPNEGO-Modul gibt (https://service.sap.com/sap/support/notes/1457499 ). Nach dem Deployen des neuen Login Modul gab es folgenden Fehler: Could not validate SPNEGO token. [EXCEPTION] java.lang.Exception: Checksum error at com.sap.security.spnego.krb5.crypto.DesCrypto.decrypt (DesCrypto.java:43) at com.sap.security.spnego.krb5.KrbEncryptedData.decrypt (KrbEncryptedData.java:81) at com.sap.security.spnego.krb5.KrbApReq.decrypt(KrbApReq.java:67) atcom.sap.security.spnego.SPNEGOLoginModule.parseAndValidateSPNEGOToken(SPNEGOLoginModu le.java:234) at com.sap.security.spnego.SPNEGOLoginModule.processAuthorizationHeader (SPNEGOLoginModule.java:385) at com.sap.security.spnego.SPNEGOLoginModule.login (SPNEGOLoginModule.java:102) … Dieser Fehler taucht auf Grund eines ungültigen Keytab Files auf. Dieses kann man dann nach dem SAP Hinweis 1568553 neu anlegen. Wichtig ist noch, dass die Einstellung für das SPNEGO Modul im Visual Admin ( unter ticket authentication) richtig vorgenommen wurde: Visual Admin – Server – Services – Security Provider “ticket component” ” SPNEGOLoginModule” muss auf REQUISITE und nicht auf SUFFICIENT eingestellt sein.
Verwandte Beiträge SAP Portal Anmelde-Popup beim Öffnen von MS Office-Dateien Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario Single Sign On mit KeePass
79 / 279
rz10.de - die SAP Basis und Security Experten
80 / 279
rz10.de - die SAP Basis und Security Experten
Fehler beim BI_CONT einspielen: Quellsystem existiert nicht von Tobias Harmes - Beitrag vom 29. Januar 2012
Bei der Aktualisierung des BI Contents (auf BI_CONT 7.06) gab es in der SAINT einen Abbruch in der Phase RS_DTRF_AFTER_IMPORT/XPRA_EXECUTION: Quellsystem existiert nicht (RSAR203). Nach kurzer Suche sind wir auf Hinweis 1564964 gestoßen: Den Funktionsbaustein RSAR_LOGICAL_SYSTEM_DELETE in der SE37 mit I_LOGSYS = und alle anderen Parameter = ‚X’ ausführen. (Vorher beachten, ob der dort erwähnte Hinweis eingespielt worden ist) Das Problem dabei war: Wir mussten den Import in der SAINT immer wieder starten und jedes mal wurde nur genau ein Quellsystem als verwaist gemeldet. Es stellte sich aber hinterher heraus, dass verwaiste Einträge von fast einem Duzend Quellsystemen im System vorhanden waren. Die Laufzeit des Upgrades steigerte sich damit um zwei Tage, da er immer wieder nach der Bereinigung eines Systems neu gestartet werden musste. Ich habe leider keinen offiziellen Weg gefunden, um im Vorfeld verwaiste Quellsysteme zu finden. Daher habe ich versucht, der Datenbank etwas Brauchbares zu entlocken. Die Tabelle RSBASIDOC enthält die Quellsysteme, so wie man sie auch in der RSA13 sehen kann. Da in den Hinweisen die Tabelle RSOLTPSOURCE für BW 3.x als Workaround genannte wird, habe ich schließlich folgendes SQL-Statement entwickelt: select distinct logsys from BASIDOC)
RSOLTPSOURCE where logsys not in (select slogsys from RS
Dieses Statement kann man z.B. auch über das DBACOCKPIT absetzen. Die Ergebnisliste wurde dann vom Anwendungssupport geprüft. Tatsächlich waren alle Treffer Quellsysteme, die schon vor einiger Zeit aus der RSA13 entfernt worden sind. Mit der Liste und dem Vorgehen aus Hinweis 1564964 konnten wir die verwaisten Quellsysteme im Vorfeld löschen und die Upgradezeit in den Folgesystemen von drei Tagen auf wenige Stunden verkleinern.
Verwandte Beiträge SAP Systemkopie mit ChaRM und Urgent Corrections im Einsatz Wartungszertifikate automatisch über den SAP Solution Manager beziehen Kontrolleurzuordnung kann nicht gelöscht werden
81 / 279
rz10.de - die SAP Basis und Security Experten
82 / 279
rz10.de - die SAP Basis und Security Experten
Fehler beim Registrieren des saprouter Dienstes von Timm Funke - Beitrag vom 21. Juni 2012
Beim Installieren des saprouter Services unter Windows 2008 habe ich eine Fehlermeldung bekommen:
C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p “service -r -Y 0 -C 1000 -D -G c:usrsapsaproutersaprouter.log -J 50000000″ failure: OpenSCManager, NT ErrorMessage: Access is denied. Die Lösung besteht darin, die Eigenschaften der Datei ntscmgr.exe anzupassen:
Anschließend lässt sich der Dienst ohne Probleme installieren.
83 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge Saprouter als Service mit SNC
84 / 279
rz10.de - die SAP Basis und Security Experten
Fehler im Upgrade auf EHP1 von Timm Funke - Beitrag vom 10. Februar 2011
sapevent bekommt keine Verbindung zum SAP System Der Upgrade eines BW 70 auf EHP1 ist in den Phasen TABIM_UPG und XPRAS_UPG stehen geblieben. Leider wurde im Installationstool (hier EHPI) kein Fehler angezeigt, aber die entsprechenden Phasen sind nicht zum Ende gekommen. Das Programm sapevent versucht über RFC einen Batchjob im SAP(Schatteninstanz) zu starten, dies bricht jedoch mit der Fehlermeldung ab: received 4 bytes from MSG_SERVER Received opcode MS_DUMP_INFO from msg_server, reply MSOP_ACCESS_DENIED MsOpReceiveReceived opcode MS_DUMP_INFO failed, reason MSOP_ACCESS_DENIED MsDump : failed MSOP_ACCESS_DENIED (5) *** ERROR ***: Get message server parameters, rc = 5″ Dann warte der Upgrade Prozess einige Zeit und versucht es erneut und so weiter und so weiter… Die Fehlermeldung findet man in der Datei dev_evt im tmp Verzeichnis der Installation, bzw. man kann das sapevent Tool auch manuell mit der Option -t starten, dann wird die Trace Datei im aktuellen Verzeichnis erstellt. Zu dem Fehler kommt es, weil der sapevent die Profildatei DEFAULT.PFL zur Ermittlung des Ports für den Message Server liest. In meinem aktuellen Fall wird dieser Port aber durch einen Eintrag im Instanzen Profil überschrieben (rdisp/msserv_internal). Das heißt, das SAP System laust auf “rdisp/msserv_internal” und sapevent spricht den Message Server Port aus dem Default Profil an und kann so keinen Connect zu dem SAP System bekommen. Zur Lösung habe ich den Parameter im DEFAULT Profil korrigiert.
Verwandte Beiträge Verhalten von Berechtigungen nach SAP Upgrades
85 / 279
rz10.de - die SAP Basis und Security Experten
86 / 279
rz10.de - die SAP Basis und Security Experten
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible von Dominik Busse - Beitrag vom 23. Januar 2014
Nach der Trennung eines SAP Dual-Stack-Systems auf ein separates Java- und ABAP-System kann das SAP NetWeaver Portal Java keine ABAP-Inhalte mehr anzeigen und Single-Sign-On (SSO) funktioniert nicht mehr. Beim Anmelden erscheinen die Fehlermeldungen Issuer of SSO ticket is not authorized bzw. SSO logon not possible.
Die SSO-Fehlermeldung:
Beim Anmelden via System Administration erscheint der Hinweis „SSO logon not possible; browser logon ticket cannot be accepted“.
87 / 279
rz10.de - die SAP Basis und Security Experten
Beim Anmelden über die SAP Gui erscheint der Hinweis „Issuer of SSO ticket is not authorized“.
Dem SSO-Fehler auf der Spur: Um auf die Ursache solcher Fehler zu stoßen, bietet sich ein Security Trace mit der SM50 an. Hierfür kann der Trace Level zunächst wie folgt auf Level 2 erhöht werden:
88 / 279
rz10.de - die SAP Basis und Security Experten
Ein erneutes Nachstellen des Fehlerfalls führte zu folgendem Log:
89 / 279
rz10.de - die SAP Basis und Security Experten
Im Log heißt es: “ERROR => System ID and client from ticket are not the same than mine […]”, sodass der Fehler in diesem Fall auf die nicht übereinstimmenden Clients zurückzuführen war.
Die Lösung des SSO-Fehlers: Um das Problem zu lösen gilt es den entsprechenden Parameter login.ticket_client über die UMEKonfiguration des SAP NetWeaver Portals vorzunehmen. Je nach Version des Portal ändern Sie diesen Parameter entweder über SAP NetWeaver Administrator (Portal > 7.2) oder über Visual Admin (Portal 7.0). Den Parameter login.ticket_client finden Sie via Systemadminitration -> UME-Konfiguration -> Expertenmodus öffnen.
90 / 279
rz10.de - die SAP Basis und Security Experten
Im oben aufgeführten Fehlerfall hatte der Parameter login.ticket_client den Wert 777. Korrekterweise müssen Sie hier den Client des Logon-Tickets (client 000) eintragen. Sobald Sie den entsprechenden Wert für login.ticket_client eingetragen haben, sollte die Anmeldung wieder funktionieren. Ich freue mich auf Ihre Kommentare und Ihr Feedback und hoffe, dass ich Ihnen bei der Lösung des Problems behilflich sein konnte.
Verwandte Beiträge Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO SSO Troubleshooting Checklist Single Sign On mit KeePass Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard Single Sign On für SAP GUI
91 / 279
rz10.de - die SAP Basis und Security Experten
Fehleranalyse bei Startproblemen der J2EE von Timm Funke - Beitrag vom 4. Februar 2011
Ab und zu kommt es ja doch einmal vor, dass unsere geliebte J2EE Engine nicht mehr starten Und gerade habe ich im Internet einen zwar nicht mehr ganz neuen, aber irgendwie immer noch aktuellen Guide zum Vorgehen zur Analyse von eben diesen Problemen gefunden. Lege ich mal hier ab.
Verwandte Beiträge JSPM Start: Error while detecting start profile möchte. Habe ich zumindest mal gehört
92 / 279
rz10.de - die SAP Basis und Security Experten
Gefährlicher Profilparameter auth/object_disabling_active von Tobias Harmes - Beitrag vom 9. September 2014
Nach einer SAP Installation stellt sich oft die Frage welche Profilparameter angepasst werden sollen. Hierzu gehören in der Regel die Profilparameter zur Kennwortsteuerung, aber auch viele andere. Die meisten Profilparameter bleiben allerdings unberührt, da der Defaultwert oftmals ausreichend ist. Im folgenden Beispiel ist der Defaultwert jedoch äußerst sicherheitskritisch zu betrachten. Der Profilparameter auth/object_disabling_active besitzt standardmäßig den Wert Y und ermöglicht dadurch über die Transaktionen SU25 bzw. AUTH_SWITCH_OBJECTS ein globales Deaktivieren von Berechtigungsobjekten. So könnte beispielsweise die Prüfung auf das Berechtigungsobjekt S_TCODE systemweit ausgeschaltet werden.
Aus diesem Grund sollte nicht nur darauf geachtet werden, dass die Anwender keinen Zugriff auf die oben genannten Transaktionen haben, sondern auch, dass der Profilparameter über die Transaktion RZ10 auf den Wert N gesetzt wird. Dadurch wird die globale Deaktivierung von Berechtigungsobjekten unterbunden. Welche Profilparameter erachten Sie für besonders sicherheitskritisch? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge Überprüfung der SAP Standardbenutzer auf Initialkennwort Aktivierung und Konfiguration des SAP Security Audit Log Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen
93 / 279
rz10.de - die SAP Basis und Security Experten
Google Chrome Extension - SAP Any Search von Tobias Harmes - Beitrag vom 9. Mai 2014
Finden Sie es auch umständlich das Netz nach SAP Themen und Hinweisen zu durchsuchen? Dann genießen Sie jetzt den Vorteil der, von rz10.de bereitgestellten, Google Chrome Extension SAP Any Search.
Mit SAP Any Search haben Sie die Möglichkeit im Netz nach SAP Inhalten zu suchen, ohne umständliche Umwege über die von SAP bereitgestellten Portale.
Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Markieren Sie einfach den gewünschten Begriff/die SAP Hinweisnummer in dem Artikel, den Sie gerade lesen, öffnen Sie mit einem Rechtsklick das Kontextmenü und wählen Sie eine der verschiedenen Suchoptionen. Die Suchergebnisse werden Ihnen anschließend in einem neuen Browser Tab präsentiert.
94 / 279
rz10.de - die SAP Basis und Security Experten
Alternativ können Sie auch einfach die sogenannte Omnibox Funktion von SAP Any Search verwenden. Tippen Sie hierfür einfach das Keyword search in die Browserleiste ein, um die Suche über SAP Any Search zu aktivieren oder stellen Sie die SAP Any Search Omnibox als Standardsuchmaschine für Ihren Google Chrome Browser ein.
Verwenden Sie dann einfach einen der folgenden Suchparameter. n [SAP Hinweisnummer]: Öffnet den gesuchten SAP Hinweis p [SAP Hinweisnummer]: Download des SAP Hinweises als PDF s [Suchbegriff]: Durchsuchen des SCN x [Suchbegriff]: Verwenden der SAP xSearch r [Suchbegriff]: Durchsuchen von rz10.de In dem nachfolgenden Beispiel wird die SAP xSearch für die Suche nach dem Begriff Solution Manager verwendet.
95 / 279
rz10.de - die SAP Basis und Security Experten
Profitieren Sie von der einfachen, bequemen, sowie schnellen Suche und installieren Sie sich die Google Chrome Extension SAP Any Search. Wie gefällt Ihnen die Extension? Welche Funktionen würden Sie sich noch wünschen, damit Sie optimal unterstützt werden? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge Lösung SAP Solution Manager installieren Lösung SAP GRC 10 Access Control Lösung Neues SAP Berechtigungskonzept Automatische Prüfung für SAP Sicherheitshinweise Lösung Behebung von Revisionsfeststellungen im SAP SAP Basis und SAP Security Berater von RZ10 buchen
96 / 279
rz10.de - die SAP Basis und Security Experten
Grafische Visualisierung Tabellenbeziehungen
von
SAP
Tabellen
und
von Tobias Harmes - Beitrag vom 13. April 2012
Es kommt gelegentlich vor, dass man sich durch mehrere SAP Tabellen kämpfen muss, damit man die Daten bekommt, die man sucht. Ich mache mir dann immer gerne ein Bild von der Tabelle und möchte wissen: mit welchen Tabellen hängt diese Tabelle zusammen? Die SAP bietet in der SE11 (Data Dictionary) ein mächtiges, aber leicht zu übersehendes Werkzeug an: Die Anzeige eines Netzplans für die Fremdschlüsselbeziehungen der aktuell ausgewählten Tabelle. Dafür wählt man in der SE11 die Option “Grafik” an oder nutzt die Tastenkombination Strg+Shift+F11:
Daraufhin öffnet sich eine Netzplangrafik (SAP Network Graphics). Diesen kann man nun für selektierte Tabellen um Fremdschlüssel-Tabellen ergänzen.
97 / 279
rz10.de - die SAP Basis und Security Experten
Dadurch kann man aus den verknüpften Tabellen auswählen und mit in den Netzplan einfügen.
Das Ergebnis ist eine Übersicht über die Beziehungen der Tabellen.
98 / 279
rz10.de - die SAP Basis und Security Experten
Für eine schnelle Übersicht über die Felder von Tabellen lohnt sich übrigens auch ein Blick in den SAP QuickViewer (Transaktion SQVI). Hier ein Beispiel für die Ansicht einer Join-Abfrage.
Verwandte Beiträge Abfrage von mehreren SAP Tabellen über den Quickviewer Risiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAP minimieren SAP Basis und SAP Security Berater von RZ10 buchen
99 / 279
rz10.de - die SAP Basis und Security Experten
100 / 279
rz10.de - die SAP Basis und Security Experten
HowTo Konfiguration von Adobe Document Services (ADS SAP) von Timm Funke - Beitrag vom 26. April 2011
Der Adobe Document Service wird im Normalfall mit dem Java WAS mitinstalliert. Für die Konfiguration sind noch einige Schritte zu beachten, diese habe ich in einem HowTo zusammengetragen. Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Dieses findet man hier: How-to SAP ADS(PDF) Dabei handelt es sich um folgende Systemumgebung: Adobe Document Services (ADS) ist auf einem JAVA WAS installiert. Angeschlossen wird der Service an ein SAP ERP System und zwar ohne Verschlüsselung (SSL).
Verwandte Beiträge SSL Webservices im SAP nutzen SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed IDoc Status manuell ändern SAP Kernel Update durchführen
101 / 279
rz10.de - die SAP Basis und Security Experten
102 / 279
rz10.de - die SAP Basis und Security Experten
IDoc Status manuell ändern von Dominik Busse - Beitrag vom 5. Mai 2014
Der IDoc Status eines bestimmten IDocs soll manuell verändert werden. Dieses Ziel kann mithilfe eines Standard SAP-Reports erreicht werden.
Ausgangssituation: Immer wieder gibt es Situationen, in denen ein IDoc Status manuell verändert werden soll. Ich erlebe es zum Beispiel häufig, dass ein IDoc zum Löschen markiert wurde (Status 68 bzw. Status 31), aber zu einem späteren Zeitpunkt die erneute Verarbeitung notwendig wird. In diesem Tutorial soll dieses Beispiel dargestellt werden. Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Übersicht über IDoc Status Zunächst möchte ich Ihnen einen kurzen Überblick über die gängigen IDoc Status geben. Hierbei gilt zu beachten, dass die IDoc Status für ausgehende IDocs zwischen 01 und 49 liegen, während die Status für eingehende IDocs bei 50 beginnen: Ausgehende IDocs: Status Status Status Status Status
02 03 30 31 33
– – – – –
Fehler bei der Datenübergabe Datenübergabe an Port OK IDoc ist versandfertig Keine weitere Verarbeitung IDoc editiert
103 / 279
rz10.de - die SAP Basis und Security Experten Eingehende IDocs: Status Status Status Status Status Status
51 52 53 64 68 70
– – – – – –
Anwendungsbeleg nicht gebucht Anwendungsbeleg unvollständig gebucht Anwendungsbeleg gebucht Idoc ist übergabebereit Keine weitere Verarbeitung IDoc editiert
Welchen IDoc Status sollte ich wählen? Da das Ziel des Änderns des IDoc Status häufig die erneute Verarbeitung ist, bietet es sich an, das IDoc in den Status zu versetzen, in welchem es auf die Verarbeitung wartet. Bei ausgehenden IDocs wählen Sie den Status 30, während Sie für eingehende IDocs den Status 64 auswählen.
IDoc Status mit Report verändern Zum Ändern des IDoc Status wird der Report RC1_IDOC_SET_STATUS verwendet. Dieser wird wie folgt bedient: 1. Transaktion SE38 aufrufen und Status ausführen:
2. Im Möglichkeit, Report selbst, müssen Sie dieneuen IDoc-Nummer(n), den Nachrichtentyp des IDocs, den aktuellen IDoc Status und Status nur des zu IDocs angeben. Weiterhin gibt es die die Umsetzung desden Status zunächst Testen:
104 / 279
rz10.de - die SAP Basis und Security Experten
3. Das Ergebnis des Reports stellt sich wie folgt dar:
Wenn die Anzahl der umgesetzten IDocs nicht der Anzahl der umzusetzenden IDocs entspricht, kann der IDoc Status des IDocs nicht verändert werden (bspw. weil dieses gerade von einem anderen Benutzer gesperrt ist). In diesem Fall probieren Sie es zu einem späteren Zeitpunkt erneut. Was sind Ihre Erfahrungen mit dem ändern des IDoc Status? Gab es bereits Situationen, in denen Sie den Status manuell ändern mussten? Ich freue mich auf Ihr Feedback und Ihre Kommentare gleich unterhalb dieses Beitrags!
Verwandte Beiträge HowTo Konfiguration von Adobe Document Services (ADS - SAP) SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI SAP Basis und SAP Security Berater von RZ10 buchen SAP Heartbleed: Kein OpenSSL - kein Problem?
105 / 279
rz10.de - die SAP Basis und Security Experten
106 / 279
rz10.de - die SAP Basis und Security Experten
Importeinplanung von Transportaufträgen via STMS von Dominik Busse - Beitrag vom 28. Februar 2014
Ein Transportauftrag soll nicht unmittelbar importiert werden, sondern zu einem bestimmten Termin. Die STMS bietet die Möglichkeit der Importeinplanung, sodass ein Import zu einem festgelegten Zeitpunkt durchgeführt werden kann.
Importeinplanung von Transportaufträgen in der Importqueue der STMS Zu Beginn dieses Tutorials befinden Sie sich wie gewohnt innerhalb der STMS in der jeweiligen Importqueue des Systems, in welches importiert werden soll. Markieren Sie den zu importierenden Transportauftrag mit F9 und wählen Sie das LKW-Icon
.
Es öffnet sich der Dialog zum Import des Transportauftrages. Über diesen Dialog können Sie nicht nur sofort importieren, sondern auch eine Importeinplanung durchführen. Auf dem Reiter Termin markieren Sie Mit Startzeit und geben den gewünschten Starttermin ein:
Obwohl es keinen Einfluss auf die Importeinplanung hat, empfiehlt es sich generell für den Import von Transporten auf dem Reiter Optionen den Haken bei Transportauftrag für weiteren Import in
107 / 279
rz10.de - die SAP Basis und Security Experten Queue stehen lassen zu entfernen. Anschließend bestätigen Sie den Dialog durch einen Klick auf den grünen Haken:
Im daraufhin angezeigten Dialog fragt das System explizit, ob der Import für den gewünschten Transportauftrag eingeplant werden soll. Bestätigen Sie mit Ja:
Der Transportauftrag erscheint nun mit einem kleinen Uhren-Icon in der Importqueue:
108 / 279
rz10.de - die SAP Basis und Security Experten
Die Importeinplanung hat funktioniert. Ich hoffe, dass ich Ihnen mit meinem Tutorial für zukünftige Anforderungen termingesteuerter Importaufträge helfen konnte. Bei Fragen stehe ich Ihnen gerne zur Verfügung und freue mich auf Ihre Kommentare oder Beiträge.
Verwandte Beiträge TP Befehle zur Transportsteuerung Transportauftrag aus Importqueue löschen Ausplanen eines eingeplanten Importauftrags SAP Transport Status zurücknehmen Transporteur zu SAP Transport ermitteln SYNCMARK blockiert Importqueue: wrong syntax in tp call
109 / 279
rz10.de - die SAP Basis und Security Experten
Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario von Tobias Harmes - Beitrag vom 25. Mai 2012
Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frage aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client Zertifikat unterdrücken? Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat. Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.
Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schön beschrieben: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung von Clientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eine Bestätigung vor dem Senden an.
Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäre trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten. Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAP Support mit meinem Client Zertifikat anmelde.
Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden. Schritt 1: Seite zu den Trusted sites hinzufügen
110 / 279
rz10.de - die SAP Basis und Security Experten
Schritt 2: Zoneneinstellung für Trusted sites verändern “Do not prompt for client certificate selection when no certificates or only one certificate exists.” auf “Enable” stellen Zoneneinstellung Englisch
Zoneneinstellung Deutsch
111 / 279
rz10.de - die SAP Basis und Security Experten
Ergebnis: Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nun höchstens bei Webseiten denen man ohnehin vertraut. https://service.sap.com/XSEARCH
Quellen: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx
Verwandte Beiträge Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO SSO Troubleshooting Checklist
112 / 279
rz10.de - die SAP Basis und Security Experten
113 / 279
rz10.de - die SAP Basis und Security Experten
J-Co Destination kann nicht gestartet werden von Timo Eckhardt - Beitrag vom 16. April 2014
Im Netweaver Administrator unter dem Punkt Infrastruktur und J-Co Destination gibt es die Möglichkeit Verbindungen zu Satelitensystemen herzustellen.Hierfür müssen zwei Destinationen angelegt werden. Zum Einen LCRSARFC und zum Anderen SAPSLDAPI. Nach dem Anlegen der J-CO Destination zum Satelitensystem erscheint der Fehler die “J-CO Destination kann nicht gestartet werden”. Somit kann keine Verbindung zwischen XI/PI/PO und dem Satelitensystem hergestellt werden. Auch das manuelle Starten hat keinen Erfolg. Die J-CO Destination wird sofort wieder gestoppt. J-CO Destination kann nicht gestartet werden. Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Die Ursache des Problems liegt darin, dass aus Sicherheitsgründen eine automatische Registrierung von fremden Systemen nicht standardmäßig akzeptiert wird. Dies muss manuell aktiviert werden. Zur genaueren Analyse des Fehlers kann man auf dem Satelitensystem im Gatemonitor (Transaktion SMGW) die Tracedateien anschauen sowie auf dem XI/PI/PO default Trace anschauen.
114 / 279
rz10.de - die SAP Basis und Security Experten
J-Co Destination lässt sich nicht Starten Gateway Analyse (SMGW) im Satelitensystem
Tracefile in der Transaktion SMGW anzeigen lassen
*** ERROR => HOST=TP=*; invalid argument in line 1 reg_info file not found Logfile Analyse auf dem XI / PI / PO System auf Betriebssystemebene des PI Systems /usr/sap//DV******/j2ee/cluster/server0/log/defaultTrace_00.trc
115 / 279
rz10.de - die SAP Basis und Security Experten
Externen Zugriff über reginfo und secinfo erlauben Nachdem man den Fehler lokalisieren konnte, kommen wir nun zur Lösung des Problems. im Satelitensystem die Transaktion: SMGW – Gateway Monitor die secinfo prüfen -> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (secinfo) und auch die reginfo prüfen -> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (reginfo)
116 / 279
rz10.de - die SAP Basis und Security Experten
Es müssen in folgendem Verzeichnis werden: /usr/sap//DV*****/data
auf
Betriebsystemebene
zwei
Dateien
angelegt
Alternativ kann man auch in der SMGW (siehe Screenshot) sowohl die secinfo als auch die reginfo erzeugen lassen. Dabei müssen die Programme für die der Zugriff erlaubt werden soll, manuell angegeben werden. secinfo #VERSION=2 P USER=* HOST=* TP=SAPSLDAPI_ P USER=* HOST=* TP=LCRSAPRFC_ P USER=* HOST=local TP=* reginfo #VERSION=2
117 / 279
rz10.de - die SAP Basis und Security Experten
P TP=SAPSLDAPI_ P TP=LCRSAPRFC_ Anschließend kann in der Transaktion SMGW -> Springen -> Expertenfunktionen -> Externe Sicherheit -> Neu lesen die aktuelle Konfiguration eingelesen werden. Syntax Eläuterung: Hierbei hat der Zeilenanfang P oder D, gefolgt von einem Leerzeichen oder einem TAB, folgende Bedeutung: P
bedeutet, dass das Programm gestartet werden darf (analog zu einer Zeile der alten Notation)
D
verhindert, dass dieses Programm angestartet wird.
USER=, [PWD=,] [USER-HOST=,] HOST=,TP= Als Trennzeichen können Sie Kommas oder Leerzeichen verwenden. Falls TP-Name selbst Leerzeichen enthält, müssen Sie Kommas verwenden. Durch eine entsprechende Zeile wird dem Benutzer erlaubt, auf dem Rechner das Programm zu starten. Durch Angabe der optionalen Berechtigungsprüfung verschärfen.
Parameter
PWD
und/oder
USER-HOST
können
Sie
diese
Der Wert internal bei den Host-Optionen (HOST und USER-HOST) steht für alle Hosts des SAP-Systems. Das Gateway ersetzt dies intern mit der Liste aller Applikationsserver des SAP-Systems. Bei allen Parametern kann * als generische Angabe (Wildcard) benutzt werden.
Startberechtigungen für externe Programme erteilen auf help.sap.com Mit diesen Eintragungen wird den entsprechenden TP / Programmen / Hosts / User erlaubt sich am System zu registrieren, sodass sich anschließend im XI / PI / PO System die J-Co Destination erfolgreich starten lassen.
118 / 279
rz10.de - die SAP Basis und Security Experten
Sie benötigen Unterstützung und haben Fragen zu diesem oder ähnlichen Problemen? Kommentieren Sie diesen Beitrag oder rufen Sie uns einfach an.
Verwandte Beiträge SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI SAP Oracle Listener startet nicht SAP Basis und SAP Security Berater von RZ10 buchen
119 / 279
rz10.de - die SAP Basis und Security Experten
JSPM Start: Error while detecting start profile von Tobias Harmes - Beitrag vom 25. Juni 2013
Folgender Fehler ist nach der Aktualisierung unseres Testsystems aufgetreten: Error while detecting start profile for instance with ID _b. Der JSPM ließ sich nicht mehr starten. Dieser Beitrag beschreibt die Fehlerbehebung.
Das Testsystem besteht aus einem Java sowie ABAP Application Server. Für das Deployment konnten wir den SDM nutzen. Die Anwendungen, beispielsweise das Portal, waren vorhanden und liefen. Der erste Bezugspunkt für die Fehleranalyse ist der Log des JSPM. Zu finden ist dieser unter /usr/sap///j2ee/JSPM/log. Der Log war allerdings nicht sehr aufschlussreich. Nach einiger Recherche sind wir auf alte Profil-Dateien gestoßen. Diese sind mit _old benannt. Verschiebt man diese Dateien in einen Ordner außerhalb des Profil-Ordners (sapmnt//profile) lässt sich der JSPM starten. Das Problem ist damit behoben und der JSPM wieder funktionsfähig. Dieses Problem wurde auch bereits von meinem Kollegen Timm Funke im SCN erörtert und kann hier nachgelesen werden. Was haben Sie schon mal für Effekte im Zusammenhang mit dem JSPM und Profil-Dateien erlebt? Ich freue mich auf Ihr Feedback.
Verwandte Beiträge Fehleranalyse bei Startproblemen der J2EE SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ SUM - validation of deployment queue completed with error SAP NetWeaver Identity Management (IDM) Fehlerbehandlung für PowerShell Aufrufe
120 / 279
rz10.de - die SAP Basis und Security Experten
121 / 279
rz10.de - die SAP Basis und Security Experten
Kennworthistorie zurücksetzen von Timm Funke - Beitrag vom 30. Januar 2011
Wer kennt das nicht, man braucht mal wieder in einem der vielen Systeme ein neues Kennwort und alle Kennwörter, die man sich merken kann, sind noch gesperrt. Mit einem kleinen ABAP kann man nun die Kennworthistorie löschen und sein gewohntes Kennwort
somit wieder benutzen REPORT ZPWDDEL . ************************************************** * * This program resets the user’s password * history, so the user can use the same * password again. * ************************************************** TABLES: USR02. PARAMETERS: USER LIKE USR02-BNAME. SELECT * FROM USR02 WHERE BNAME = USER. ENDSELECT. IF SY-SUBRC = 0. USR02-OCOD1 = USR02-BCODE.
USR02-OCOD2
=
USR02-OCOD3
=
USR02-OCOD4
=
USR02-OCOD5
=
MODIFY USR02. ELSE. WRITE: / ‘User does not exist’. ENDIF.
Verwandte Beiträge Überprüfung der SAP Standardbenutzer auf Initialkennwort Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen
122 / 279
rz10.de - die SAP Basis und Security Experten
123 / 279
rz10.de - die SAP Basis und Security Experten
Laufzeitfehler DDIC_TYPELENG_INCONSISTENT von Timm Funke - Beitrag vom 29. Juli 2012
Nach einem Kerneltausch auf die Version 7.20 hat mich unser XI System heute mit etlichen Dumps mit dem Laufzeitfehler DDIC_TYPELENG_INCONSISTENT begrüßt:
Ein Blick in die Details zeigt:
In aktuellen Releases kann man über die se38 den Report RSDDCHECK zur Hilfe nehmen, um das Objekt zu analysieren:
Die Lösung an dieser Stelle ist recht simpel, in der se11 den Datentyp SWNCGLAGGTASKTYPE aktivieren und schon sieht der erneute Start des Reports so aus:
124 / 279
rz10.de - die SAP Basis und Security Experten
Sollten weitere Fehler dieser Art auftreten, ist der SAP Hinweis 1610716 zu beachten! Und der Sonntag kann beginnen J
Verwandte Beiträge Dumps nach Abbruch der SPAM
125 / 279
rz10.de - die SAP Basis und Security Experten
Mandantenkopie von Silvia Scholer - Beitrag vom 20. November 2014
Eine für sich handelsrechtlich, organisatorisch und datentechnisch abgeschlossene Einheit innerhalb eines SAP-Systems mit getrennten Stammsätzen und einem eigenständigen Satz von Tabellen wird als Mandant bezeichnet. Im Zuge der Entwicklung und des Testens ist es oftmals notwendig, dass beispielsweise eine Mandantenkopie von einem Produktivsystem zu einem Testsystem durchgeführt wird. Wie eine Mandantenkopie auszuführen ist und was zu beachten ist, werde ich im Nachfolgenden aufzeigen.
Mandanten können innerhalb desselben Systems kopiert werden oder auch zwischen verschiedenen Systemlinien. Um Mandanten innerhalb derselben Systemlinie zu kopieren, gehen Sie wie folgt vor: Zunächst wird im Quellsystem in der Transaktion “SCC4″ ein neuer Zielmandant definiert. Hierzu wählen Sie im Änderungsmodus “Neue Einträge”.
Abbildung 1: Transaktion SCC4
Anschließend werden die Metadaten (sprich Mandantennummer, Ort, logisches System etc.) für den neuen Mandanten eingegeben und gesichert.
126 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 2: Metadaten des Mandaten
In der in Abbildung 1 gezeigten Tabelle wird der neue Mandant angezeigt. Anmerkung: Der Mandant wurde jetzt noch nicht kopiert. Die tatsächliche Mandantenkopie kommt als nächstes. Vorher sollten Sie zur Sicherheit die Datenbank sichern. Melden Sie sich im Zielmandanten mit dem Benutzer SAP* und dem Passwort PASS an. Über die Transaktion “SCCL” wählen Sie über das Profil aus, welche Daten kopiert werden sollen sowie den Zielmandanten.
Abbildung 3: Kopierprofile
Anschließend kann die Mandantenkopie im Hintergrund gestartet werden. Bedenken Sie, dass dieser Vorgang mehrere Stunden dauern kann und durch Arbeiten im Quellsystem verzögert werden kann. Über die Transaktion “SCC3″ kann dieser Vorgang überwacht werden. Welche Erfahrungen haben Sie mit Mandantenkopien gemacht? Ich freue mich auf Ihr Feedback.
127 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge SAP Basis und SAP Security Berater von RZ10 buchen Benutzerstammsätze exportieren und importieren SAP Standardrollen kopieren und generieren
128 / 279
rz10.de - die SAP Basis und Security Experten
Massensperren von Benutzern via SU10 von Tobias Harmes - Beitrag vom 20. Januar 2012
Für Wartungsarbeiten wie zum Beispiel Upgrades oder das Einspielen von Support Packages kann es sinnvoll sein, alle nicht benötigten Benutzer eines Systems zu sperren. Dies kann über die SAP Transaktion SU10 durchgeführt werden. Für die Verwendung der SU10 hilft es, standardisierte Vorgehensweisen zur Festlegung der Benutzer-Zuordnung und Gültigkeit zu haben. Wir erstellen individuelle SAP Berechtigungskonzepte, die solche Themen berücksichtigen. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: SAP Berechtigungskonzepte entwickeln Unsere Referenzen finden Sie hier.
129 / 279
rz10.de - die SAP Basis und Security Experten
MaxDB 7.8 Passwort-Reset von Tobias Harmes - Beitrag vom 10. Juli 2012
Wer kennt das Problem nicht? Man arbeitet auf den unterschiedlichsten Systemen, hat unzählige Benutzer und dementsprechend mindestens so viele Passwörter, die man sich merken muss. Jetzt gibt es natürlich nützliche Tools, die einem an dieser Stelle das Leben erleichtern (dazu später mehr). Aber was, wenn man kein Tool im Einsatz und das Passwort vergessen hat? Oft kann man das Passwort zurücksetzen lassen und erhält dann eine E-Mail mit dem neuen Passwort. Bei SAP, genauer gesagt bei der MaxDB, ist das aber etwas anders. Sollte man das, bei der Installation des SAP-Systems, angelegte Masterpasswort vergessen haben oder sollte es aufgrund anderer Umstände ungültig sein, hat man keine Möglichkeit mehr auf die Datenbank zuzugreifen. Dies ist vor allem dann erforderlich, wenn zum Beispiel die Datenbanklog vollgelaufen ist oder die Datenbank einfach nicht über den Service automatisch gestartet wurde. Doch was ist die Konsequenz? Die Konsequenz ist ein nicht startendes SAP-System, das in einem solchen Szenario noch einmal komplett neu aufgesetzt werden müsste. Falls man einen Wiederherstellungspunkt in Petto hat, dann herzlichen Glückwunsch, man verliert nur die Daten nach diesem Zeitpunkt. Doch falls es kein Backup gibt, ist es aus und vorbei. Richtig?! Falsch! Es gibt eine Methode das Passwort der MaxDB zurückzusetzen, die ich im Folgenden beschreiben werde. Alles was man dazu braucht ist der “Hex Workshop” Hex-Editor, den man unter http://www.hexworkshop.com/ herunterladen kann. 1. Als erstes muss man mit dem Hex Editor die .upc Datei öffnen, in der die Benutzerprofile binär gespeichert sind. Die Datei hat die Form DBNAME.upc. Wichtig ist, dass die Datei im little Endian Modus (siehe Screenshot) bearbeitet wird. 2. Danach sucht man nach dem Benutzer Control und macht dort die Angaben, wie sie auf dem Screenshot zu sehen sind. Die erste Werte werden zwischen 18 00 und der zweiten 18 geändert. Der zweite Eintrag beginnt hinter 43 52 59 50 54 04 18 und steht auf der rechten Seite für CRYPT.. . Durch die Änderungen wird das Passwort für den Benutzer Control auf password gesetzt. Natürlich funktioniert dieses Vorgehen für jeden Benutzer, der sich in der .upc Datei befindet. 3. Server neu starten. 4. Falls nicht bereits vorhanden, muss man sich jetzt noch den MaxDB Database Manager installieren und im Anschluss folgende Eingabe in der Konsole machen. Pfad zum MaxDB Database Manager Ordner in dem die dbmcli.exe liegt. C:[…]>dbmcli -d DBNAME -u control,password user_put control password=password. 5. Nachdem die Eingabe bestätigt wurde wechselt man in das SAP Verzeichnis, in dem die aktuelle Version der dbmcli.exe liegt und macht dort die Angaben wie folgt; C:[…]>dbmcli -d DBNAME -u control,newpassword user_put control password=newpassword. Dadurch bleiben die Daten konsistent.
130 / 279
rz10.de - die SAP Basis und Security Experten
Eingaben im Hex Editor
Zum Schluss muss man sich nur noch über das Developer Studio mit dem geänderten Benutzer und dem neuen Passwort anmelden und hat wieder vollen Zugriff auf die Datenbank. Wie eingangs schon erwähnt gibt es nützliche Tools, um sich das Leben einfacher zu gestalten. Das Tool meiner Wahl heißt “KeyPass” und kann unter http://keepass.info/ heruntergeladen werden. KeyPass ist eine Passwortdatenbank mit der alle Passwörter verwaltet werden können. Neben unzähligen nützlichen Features ist der große Vorteil, dass man sich nur noch das Passwort für den Zugriff auf KeyPass merken muss und somit das Risiko Passwörter zu vergessen minimiert wird. Das Passwort für KeyPass sollte aber nicht vergessen werden, da dort ein Passwort-Reset bzw. -Recovery nicht mehr möglich ist.
Verwandte Beiträge SAP NW IdM 7.1 – Hinzufügen eines JDBC-Treibers zum Dispatcher
131 / 279
rz10.de - die SAP Basis und Security Experten
132 / 279
rz10.de - die SAP Basis und Security Experten
Netzwerkverbindungen aus dem SAP testen von Tobias Harmes - Beitrag vom 21. August 2011
In der Regel kommt der Betrieb der SAP Applikationsserver und der Netzwerk-/Firewall-Infrastruktur nicht aus einer Hand. Das kann die Ursachenanalyse für ein Problem erschweren. Gut wenn man als SAP Basis Mitarbeiter ein paar Werkzeuge kennt, um Applikationsprobleme von gestörten oder abgeschotteten Netzwerkverbindungen abgrenzen zu können.
Telnet Hinweis: Bei neueren Windows-Installationen muss man den Telnet-Client erst nachinstallieren. Unter Linux/Unix ist es im Standardumfang enthalten. Aufruf: telnet hostname port Beispiel: telnet meinsaprouter.company.com 3299 Wird die Console schwarz und ein Cursor blinkt links oben dann ist die Verbindung erfolgreich hergestellt worden. Die Verbindung beenden kann man mit “CTRL++” und der Eingabe quit. Blockiert eine Firewall die Verbindung, dann dauert es eine Weile bis schließlich ein Timeout gemeldet wird. Wird die Verbindung aufgebaut, aber gleich darauf getrennt, ist die Wahrscheinlichkeit hoch, dass es ein saprouter/Dienst-Problem ist.
Niping Mit niping kann man die Verbindung zu einem Dispatcher oder Gateway testen, inklusive der SAP Router dazwischen. Dies ist ein deutlicher Vorteil gegenüber den direkten Tools wie telnet und netcat. Tipp: Über den Report RSBDCOS0 kann man das Programm direkt auf dem Applikationsserver ohne Betriebssystemzugriff laufen lassen. Aufruf: niping -c -H HOSTNAME oder SAPROUTERSTRING -S PORT
1. Beispiel: [1]niping -c -H /H/meinsaprouter.company.com -S sapdp99 [1]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99
133 / 279
rz10.de - die SAP Basis und Security Experten
Sun Aug 21 18:22:07 2011 ***LOG Q0I=> NiPConnect2: meinsaprouter.company.com:3299: WSAECONNREFUSED: Connection refused) [nixxi.cpp 3133]
connect
(10061:
*** ERROR => NiPConnect2: SiPeekPendConn failed for hdl 1/sock 268 (SI_ECONN_REFUSE/10061; I4; ST; meinsaprouter.company.com:3299) [nixxi.cpp 3133] *** ERROR => NiTClientLoop: NiHandle (rc=-10) [nixxtst.cpp 2529] 2. Beispiel: [2]niping -c -H /H/meinsaprouter.company.com -S sapdp99 [2]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99
Sun Aug 21 18:25:01 2011 connect to server o.k. *** ERROR => NiBufIProcMsg: hdl 1 received rc=-93 (NIEROUT_INTERN) from peer [nibuf.cpp 2115] *** ERROR => NiTClientLoop: NiTReadLoop (rc=-93) [nixxtst.cpp 2529]
Bei dem ersten Beispiel war der SAP Router Dienst nicht gestartet, beim zweiten Beispiel war der Zugriff erfolgreich. Die “*** ERROR” Nachrichten kann man vernachlässigen.
Netcat Für andere Netzwerkdienste (z.B. Test ob der Mailserver-Port offen ist) kann man neben telnet auch netcat sehr gut einsetzen. Allerdings ist das Programm nur in der Unix/Linux-Welt im Standardumfang verfügbar. Aufruf: netcat -w5 -z -v HOSTNAME PORT -w 5 sekunden warten -z port scanning only -v verbose Beispiel: [6]netcat -w5 -z -v mail.company.com 25 2>/tmp/test_mailtest.txt [7]cat /tmp/test_mailtest.txt mail.company.com [10.0.0.1] 25 (smtp) open Durch die Parameter im Beispiel läuft netcat nicht-interaktiv und ist damit auch wieder für den SAP
134 / 279
rz10.de - die SAP Basis und Security Experten Report RSBDCOS0 geeignet.
Verwandte Beiträge SAP Emailversand einrichten und testen Saprouter als Service mit SNC Betriebssystembefehle via Transaktion ausführen
135 / 279
rz10.de - die SAP Basis und Security Experten
OK – Codes für SAP von Timm Funke - Beitrag vom 30. Januar 2011
Im Transaktionsfeld eines SAP Systems lassen sich nicht nur die Transaktionen aufrufen. Im Folgenden stelle ich zusammen, welche sogenannte OK-Codes noch möglich sind:
OK-Code /o
/oTransaktion /nTransaktion
/*Transaktion
/i
/iModus
/nend
/nex
.xyz
Beschreibung Übersicht der offenen Modi und die Möglichkeit einen bestehenden zu löschen oder einen neuen zu erzeugen. Öffnen eines neuen Modi mit der Transaktion transaktion Beenden der aktuellen Transaktion und starten der neuen Transaktion transaktion im aktuellen Mode. Achtung, nicht gespeicherte Daten gehen ohne Warnung verloren! Beenden der aktuellen Transaktion und starten der neuen Transaktion transaktion im aktuellen Mode. Der erste Bildschirm der neuen Transaktion wird nicht angezeigt (wenn?). XXX Achtung, nicht gespeicherte Daten gehen ohne Warnung verloren! Beendet den aktuellen Modus. Achtung, nicht gespeicherte Daten gehen ohne Warnung verloren! Beendet den angegebenen Modus. Achtung, nicht gespeicherte Daten gehen ohne Warnung verloren! Beendet die aktuelle Sitzung und schließt alle offenen Modi. Es wird eine Bestätigung verlangt, in den verschiedenen Modi noch nicht gespeicherte Daten gehen ohne weitere Warnung verloren. Beendet die aktuelle Sitzung ohne Nachfrage. Alle offenen Modi werden ohne Nachfrage geschlossen, Daten können verloren gehen. Traversieren der Menü-Shortcuts (Hotkeys)
136 / 279
rz10.de - die SAP Basis und Security Experten /h /hs /$SYNC
/$TAB
/$CUA
/$NAM
/$DYNP
/h /bend
/p– /p/p+ /p++ %pc %sc %pri
Springen in den Debugger (Im R/2: ‘h’, »Hoppeln«) Springen in den Debugger (Systemfunktionen?) Synchronisieren aller Puffer. Durch diese Funktion kann die Performance erheblich verringert werden! Synchronisiere den Tabellen-Puffer. Durch diese Funktion kann die Performance negativ beeinflußt werden. Synchronisiere den CUA-Puffer. Durch diese Funktion kann die Performance negativ beeinflußt werden. Synchronisiere den NAMTAB-Puffer. Durch diese Funktion kann die Performance negativ beeinflußt werden. Synchronisiere den Dynpro-Puffer. Durch diese Funktion kann die Performance negativ beeinflußt werden. In den Debugger wechseln. XXX Welche Berechtigungen sind hier erforderlich? Batch-Input beenden, dabei können Sie mit »Wiederaufnahme« in die Transaktion SM35 zurückspringen. Auf die erste Seite einer Liste springen. Eine Seite rückwärts blättern. Zur nächsten Seite vorblättern. Auf die letzte Seite springen. Liste downloaden. In der Liste suchen. Angezeigte Liste drucken.
Verwandte Beiträge SU24 Pflege für eigene Transaktionen
137 / 279
rz10.de - die SAP Basis und Security Experten
138 / 279
rz10.de - die SAP Basis und Security Experten
ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account von Timm Funke - Beitrag vom 29. März 2011
Wenn man sich mit dem SYSTEM Account an eine Oracle DB anmeldet, bekommt man einen ORA-28011. Die Anmeldung funktioniert dann zwar, aber oft wird diese “Fehler” Meldung von Skripten nicht abgefangen, sondern diese brechen ab. Zuerst schauen wir uns an, zu welchem Profil der Benutzer gehört: SQL> select username, profile from dba_users; USERNAME PROFILE —————————— —————————— SAPR3 SAPUPROF SYS DEFAULT DBSNMP DEFAULT OUTLN DEFAULT OPS$ORAF3D DEFAULT OPS$F3DADM DEFAULT DIP DEFAULT SYSTEM DEFAULT ORACLE_OCM DEFAULT APPQOSSYS DEFAULT 10 rows selected. SQL> Nun schauen wir uns die Beschränkungen für alle User mit dem Profile “DEFAULT” an: select LIMIT, RESOURCE_NAME from dba_profiles where PROFILE = ‚DEFAULT’ and RESOURCE_NAME in (‘PASSWORD_GRACE_TIME’,’PASSWORD_LIFE_TIME’, ‘PASSWORD_REUSE_MAX’,’PASSWORD_REUSE_TIME’); LIMIT RESOURCE_NAME
139 / 279
rz10.de - die SAP Basis und Security Experten —————————————- ——————————– 180 PASSWORD_LIFE_TIME UNLIMITED PASSWORD_REUSE_TIME UNLIMITED PASSWORD_REUSE_MAX UNLIMITED PASSWORD_GRACE_TIME Und hier sehen wir auch schon das Problem, die Life_Time steht auf 180. Mit dem Kommando: select ptime,sysdate, floor(sysdate- ptime) from sys.user$ where name= ‚SYSTEM’ kann man herausfinden, wann das Kennwort zum letzten Mal geändert worden ist. Nun gibt es zwei Lösungsmöglichkeiten, entweder verändert man die PASSWORD_LIFE_TIME: alter profile default limit PASSWORD_LIFE_TIME unlimited; oder man ändert im SQL mit password einfach das Kennwort des Benutzers.
Verwandte Beiträge Oracle-/DB Administration und Performance Transaktionen SAP Oracle Listener startet nicht
140 / 279
rz10.de - die SAP Basis und Security Experten
Oracle-/DB Administration und Performance Transaktionen von Timm Funke - Beitrag vom 25. Februar 2011
Anbei eine Übersicht über die wichtigen Transaktionen für den Betrieb einer Oracle Datenbank unter SAP Transaktion DBACOCKPIT DB01 DB02
DB03
DB12
DB13
DB14 DB16
DB17
DB20
DB21 DB24
DB26
DBCO
Name Admin Cockpit
Beschreibung Zentraler Einstieg in die Oracle Administration (DB02, DB13) Oracle Lock Monitor Anzeige von Oracle Locks, auf die gewartet werden muss Database-Performance Übersicht über Tablespace und Tabellen / Indexe der Datenbank mit Einstieg in Detailanalysen Parameteränderung der Anzeige der Datenbank Datenbankparameter inklusive ihrer Änderungshistorie Sicherungsprotokolle Überblick über die Historie der Datenbank und der Redo-Log Sicherungen DBA Einplanungskalender Kalender um Datenbankoperationen einzuplanen, wie DB Checks oder Aktualisierung der Oracle Statistiken Protokollanzeige DBA Anzeige der Protokolle aller Operationen der BR* Tools Datenbankprüfungen Anzeige der Fehlermeldungen und Warnungen des letzten DB Checks Datenbankprüfbedingungen Pflege der Datenbankprüfbedingungen beim Einsatz von DB-Checks (BR*Tools) Tabellenstatistik Überblick über die Statistik einer einzelnen Tabelle und Neuanlegen, wenn nötig Konfiguration der Pflege der StatistikStatistikerstellung Ausnahmetabelle DBSTATC Protokolle administrativer DB Statusanzeige (Ampelsystem) Operationen von DB Operationen wie Backups, Checks und Statistikläufen Datenbankparameter Anzeige und Pflege (eingeschränkt) der Oracle Parameter (detaillierter als DB03) Datenbankverbindungen Pflege von Datenbankverbindungen, die vom System genutzt werden können, z.B. bei DB26 (NICHT
141 / 279
rz10.de - die SAP Basis und Security Experten Verbindung Workprozesse – Schattenprozesse!) Datenbank-Performance-Monitor Überblick über Oracle Performancekennzahlen, Session Monitor, V$Tables, SGA und PGA Monitor
ST04N
Es sind die “alten” Transaktionen angegeben, in neuen Releasen muss teilweise noch ein “old” ergänzt werden, da der Aufruf sonst zum DBACOCKPIT führt (z.B. DB02OLD).
Verwandte Beiträge ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account SAP Oracle Listener startet nicht Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS
142 / 279
rz10.de - die SAP Basis und Security Experten
Performance Analysen im BW – ein erster Ansatz von Timm Funke - Beitrag vom 29. Januar 2011
In diesem Beitrag geht es um die ersten Schritte zur Performance Analyse in einem BW System. Vieles kann natürlich auch für ERP Systeme betrachtet werden. Performance Engpässe in einem SAP BW System liegen aus meiner technischen Sicht natürlich eher Um das der Anwendungsbetreuung auch zu dokumentieren, können die folgenden Schritte hilfreich sein. Zuerst schauen wir in der st03n
in der Applikation
Hier sind folgende Aspekte zu beachten: Proc. Time ist eine berechnete Zeit RFC ist wichtig für BEx Queries Wenn Proc. Time = ein Vielfaches der CPU, dann deutet das auf einen CPU Engpass hin Die mittlere Wartezeit sollte zwischen 1 und 10 % der durchschnittlichen Antwortzeit betragen => sonst liegt ein allgemeines Performance Problem vor. Ausgelöst eventuell durch nicht genügend Workprozesse. Für den Anwender bedeutet das lang laufende Transaktionen Die mittlere DB Zeit sollte nicht mehr als 40 – 45 % der Antwortzeit betragen. Alles andere könnte seine Ursache in DB Problemen (z.B. auch CPU Engpass auf dem DB Server) oder Netzwerkproblemen (zwischen Appl. Und DB Server) haben GUI Zeit sollte bei < 250 ms liegen => sonst NW Engpass oder Probleme auf dem Präsentationsserver
143 / 279
rz10.de - die SAP Basis und Security Experten
In diesem Beispiel ist die Durchschnittliche Wartezeit kleiner als 50 ms, damit liegt kein allgemeines HW Problem bezüglich der Performance vor.
Tauchen in den Hitlisten (Ranking List) SAPMHTTP Aufrufe auf, so können das BW Queries sein Wenn man dann einen Doppelklick auf einen Eintrag macht, dann bekommt man die alle Zeiten zu dem Workprozeß angezeigt:
144 / 279
rz10.de - die SAP Basis und Security Experten
^ Hier schaut man auch wieder auf die durchschnittliche Wait Time, ist diese zu hoch, stehen nicht genügend Ressourcen zur Verfügung (CPU)
Diese Übersicht könnte der erste Schritt sein, wenn Performance Engpässe in einem BW System auftauchen. Natürlich gibt es noch viele weitere Aspekte, z.B. Einstellungen auf dem DB Server, Performance Aspekte innerhalb der DB etc.. Auf diese werde ich in weiteren Beiträgen eingehen.
Verwandte Beiträge Wichtige Transaktionen für Performance Untersuchungen Performanceoptimierung der SAP BW Landschaft SAP Speichermodell in Windows Umgebungen
145 / 279
rz10.de - die SAP Basis und Security Experten
146 / 279
rz10.de - die SAP Basis und Security Experten
PI-Komponenten fehlen im SLD von Timo Eckhardt - Beitrag vom 21. Oktober 2014
Es kann vorkommen, dass einige der PI-Komponenten nicht mehr im PI registriert sind. Das kann zu Fehlern in der Nachrichtenverarbeitung führen oder verursachen, dass die Runtime Workbench nicht korrekt funktioniert.
Kontrolliert werden kann die Konfiguration an folgender Position im System Landscape Directory (SLD): http::/sld -> Technische Systeme -> Process Integration
147 / 279
rz10.de - die SAP Basis und Security Experten Hier sollten mindestens folgende sechs Komponenten der PI vorhanden sein: Domain, Integration Repository, Integration Directory, RWB (Runtime Workbench), Adapter Engine, Integration Server Sobald hier eine PI-Komponenten fehlt, kann es zu Problemen bei der Nachrichtenverarbeitung kommen. PI-Komponente löschen
Jede Komponente muss der zugehörigen Domäne zugeordnet sein, der Name der Domäne muss in der Spalte “Domäne” angezeigt werden. Der Integration Server sowie die Domain sind elementare Komponenten, die nicht einfach gelöscht werden sollten. Diese registrieren sich nicht durch einen einfachen Restart neu. Daher löschen Sie bitte nicht versehentlich den Integration Server. Für Inkonsistenzen mit dem Integration Server verweise ich auf einen Blogbeitrag, der sich damit auseinander setzen und in Kürze erscheinen wird. SLD-Registrierung von PI-Komponenten auslösen
Um die Registrierung einer PI-Komponente auszulösen, müssen Sie die zugehörige Anwendung neu starten. Navigieren Sie im SAP NetWeaver Administrator zur Oberfläche zum Starten/Anhalten: http:: –> SAP NetWeaver Administrator –> Operation Management –> Systems –> Start&Stop –> Java EE Applications An dieser Stelle wählen Sie die entsprechende Anwendungen aus um eine Neuregistrierung durch einen Restart der Komponente auszulösen. • com.sap.xi.directory (Integration Builder/Configuration) • com.sap.aii.af.app (Adapter-Engine) • com.sap.xi.rwb (Runtime Workbench) • com.sap.xi.repository (Integration Builder/Design) Das Directory und Repository wird durch einen Aufruf der Startseite im SLD registriert:
148 / 279
rz10.de - die SAP Basis und Security Experten http://:/dir http://:/rep Falls Sie ähnliche Probleme im SLD haben und ihnen diese Lösungen nicht weiterhelfen konnten, interessiere ich mich auf welche Fehler Sie gestoßen sind. Zum Schluss finden Sie im nachfolgenden Link noch einen nützlichen SAP Hinweis: 1117249 – Unvollständige Registrierung von PI-Komponenten in SLD
Verwandte Beiträge SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI SAP Basis und SAP Security Berater von RZ10 buchen CIM-Modell aktualisieren (cimsap & crdelta) Kontrolleurzuordnung kann nicht gelöscht werden
149 / 279
rz10.de - die SAP Basis und Security Experten
Pseudo Sprachinstallation im SAP BW von Timm Funke - Beitrag vom 2. Februar 2011
Unter Umständen können gesetzliche Bestimmungen dazu führen, das BW Reports (z.B. für diverse Aufsichtsbehörden) in der entsprechenden Landessprache verfasst sein müssen. Wenn man nun diese Sprache ansonsten nicht zwingend benötigt und deshalb nicht installieren möchte, kann man folgenden Workaround nutzen: 1. zcsa/installed_languages im Defaultprofil um den Wert “X” (X jeweils für die benötigte Sprache) erweitern 2. zcsa/second_language = E im Defaultprofil 3. Mit dem Report RSCPINST die NLS-Einstellungen um den Wert für die Sprachte (z.B. “PT” für Portugiesisch) ergänzen 4. In der SMLT die Sprache (wieder das Beispiel: Portugiesisch) mit Auffüllsprache Englisch klassifizieren. Wenn man sich nun in der “neuen” Sprache (z.B.Portugiesisch) anmeldet, erscheint das Menü in Englisch und man kann portugiesische Texte eingeben. Wichtig ist allerdings, dass bei einem Upgrade in der Phase LANG_SELECT die Sprache (z.B.Portugiesisch) abgewählt wird. Andernfalls würden die (portugiesischen) Sprachanteile des Upgrades importiert. Außerdem muss nach dem Upgrade die Sprachklassifikation wiederholt werden.
Verwandte Beiträge URLs für Web Dynpro werden nicht mehr korrekt generiert Sprachpakte in SAP aktivieren - select one of the installed languages
150 / 279
rz10.de - die SAP Basis und Security Experten
SAP Archiv - SAR-Datei mit SAPCAR entpacken von Tobias Harmes - Beitrag vom 12. Juli 2013
Dieser Beitrag beschreibt wie ein SAP Archiv (.SAR-Datei) entpackt wird. Konkreter Fall: Auf einem System soll eine Erweiterung eingespielt werden und es ist notwendig dazu eine von SAP ausgelieferte .SAR-Datei zu entpacken um den Inhalt nutzen zu können. Die SAR-Datei ist ein Archiv-Format von SAP für die Auslieferung von verschiedenen Packages. Um den Inhalt des Paketes nutzen zu können muss dieses in der Regel vorher entpackt werden. Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Download von SAPCAR Die SAP bietet ein eigenes Programm SAPCAR, welches im SAP Software Download Center heruntergeladen werden kann. Zu finden ist es unter: Support Packages and Patches >> A – Z Index >> S >> SAPCAR >> SAPCAR 7.20
Das SAP Archiv entpacken Auf einem Windows-System erfolgt die Extraktion des Paketinhaltes innerhalb der Konsole. Zuerst navigiert man zum Ordner in dem das SAR Archiv liegt. An dieser Stelle den folgenden Befehl ausführen: C:> sapcar.exe -xvf -R
Beispiel SAP Host Agent Um den SAP Host Agent manuell zu aktualisieren wird das entsprechende SAP Archiv mit SAPCAR
151 / 279
rz10.de - die SAP Basis und Security Experten entpackt. Unter Windows werden die Befehle im Command Prompt ausgeführt. In diesem Beispiel nutze ich SAPCAR vom Host Agent und navigiere dort hin. Das SAP Archiv für den Host Agent liegt in diesem Fall in einem temporären Ordner auf C:\. Daraus ergibt sich folgender Befehl um das SAP Archiv zu entpacken: sapcar.exe -xvf C:\temp\SAPHostAgent\SAPHOSTAGENT155_155-20006834.SAR -R C:\temp\SAPHostAgent\
Der Parameter -R sorgt für die Ausgabe im Command Prompt, welche Dateien des SAP Archiv entpackt werden.
So einfach geht es. Ich hoffe ich konnte euch damit helfen und freue mich über Feedback.
Verwandte Beiträge SAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master
152 / 279
rz10.de - die SAP Basis und Security Experten
153 / 279
rz10.de - die SAP Basis und Security Experten
SAP Benutzertypen richtig verwenden von Tobias Harmes - Beitrag vom 16. März 2012
Vielen Kunden fällt es schwer den geeigneten SAP Benutzertypen zu wählen. Insbesondere für RFCVerbindungen werden die möglichen Benutzertypen oft verwechselt bzw. nicht optimal ausgewählt. Hier eine Tabelle mit den Benutzertypen und deren Eigenschaften:
Eigenschaft GUI Anmeldung RFC Anmeldung Erzwingung der Kennwortänderung Kennwortablauf Anmeldeticket kann erzeugt werden
Dialog Ja Ja Ja
Kommunikation Nein Ja Ja
System Nein Ja Nein
Service Ja Ja Nein
Ja Ja
Ja Ja
Nein Nein
Nein Nein
Typische Probleme in diesem Umfeld: Es werden Benutzer vom Typ Service als technische User für Nicht-Dialog-Verbindungen benutzt Diese vermeintlichen “Dienste”-User haben oft weitreichende Berechtigungen bis hin zu SAP_ALL. Allerdings können diese User auch von jemand via SAPLOGON genutzt werden. Da sie keiner Passwortrichtlinie unterliegen, sind sie maximal für Notfall/Admin-User geeignet. Ein Benutzer vom Typ Service kann kein Single Sign On verwenden Da für diesen Benutzertyp keine Anmeldetickets erzeugt werden, funktioniert auch kein SSO. Benutzer vom Typ Kommunikation werden für RFC-Verbindungen genutzt Der Typ Kommunikation ist für Benutzer gedacht, die einen alternativen Client via RFC verwenden. Da sie der Passwortrichtlinie unterliegen sollte man dringend Benutzer vom Typ System verwenden. Vor allem im Solution Manager Umfeld treten immer wieder abgelaufene Kennwörter für automatisch generierte Benutzer vom Typ “Kommunikation” auf.
Wie kann ich Benutzer eines bestimmten Typs ermitteln? Dabei hilft das Benutzerinformationssystem, Transaktion SUIM, Benutzer>nach Anmeldedatum und Kennwortänderung (By logon date und password change)
154 / 279
rz10.de - die SAP Basis und Security Experten
Weitere Links zum Thema: Hinweis 327917 – Neue Benutzertypen ab Release 4.6C
Verwandte Beiträge Anmeldesprache für SAP Dialogbenutzer festlegen SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI Zusätzliche Filter bei der SUIM-Abfrage hinzufügen Überprüfung der SAP Standardbenutzer auf Initialkennwort SAP Basis und SAP Security Berater von RZ10 buchen
155 / 279
rz10.de - die SAP Basis und Security Experten
SAP Emailversand einrichten und testen von Tobias Harmes - Beitrag vom 1. Juni 2012
Immer mal wieder nötig, hier eine kurze Anleitung: Die wichtigsten Transaktionen: SCOT – SAPconnect Administration / SMTP Konfiguration SOST – Übersicht Sendeaufträge 1. Mailserver ermitteln: es werden Hostname/IP und SMTP-Port benötigt, in der Regel Port 25 2. In die Transaktion SCOT gehen und Doppelklick auf den SMTP Knoten machen. Dabei beachten: die SCOT ist mandantenabhängig. Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
156 / 279
rz10.de - die SAP Basis und Security Experten
Als Adressbereich “*” auswählen, damit dieser Knoten für alle email-Adressen verwendet wird.
3. Default domain setzen, z.B. mindsquare.de
4. Trace setzen
157 / 279
rz10.de - die SAP Basis und Security Experten
5. In der SU01 seine eigene email-Adresse hinterlegen (und für jeden, der auch Mails versenden will)
6. Testmail versenden über SO01 oder SBWP
7. In die Transaktion SCOT wechseln, dort sollte die Mail bereits warten. Dort den Sendeprozess starten, damit die Queue abgearbeitet wird.
158 / 279
rz10.de - die SAP Basis und Security Experten
Den Trace kann man auf Wunsch direkt anzeigen oder später in der Transaktion SOST auswerten.
8. Wenn alles sauber läuft, kann man über die SM36 den RSCONN01 einplanen. Der startet dann regelmäßig den Sendeprozess und arbeitet die Mails aus der Queue ab. Wenn es einen Fehler gibt, dann kann man in der Transaktion SOST den Trace prüfen. Übrigens: Empfängerauthentisierung (“550 must be authenticated”) und erzwungene Verschlüsselung machen in der Regel einen Zwischenstopp über zum Beispiel ein internes Mailrelay notwendig. Diese Sicherheitsmechanismen sind leider noch nicht im SAP Standard angekommen. Weiterführende Informationen: Hinweis 455140 – Konfiguration Email,Fax,Paging/SMS über SMTP Hinweis 607108 – Problemanalyse beim Versand oder Empfang von Emails
Verwandte Beiträge Netzwerkverbindungen aus dem SAP testen SAP Portal - UI Elemente für SAP IDM erstellen und mit Rollen verbinden (How-to) CCMS-Alerts per E-Mail erhalten Authentifizierung und Verschlüsselung beim E-Mail-Versand SAP Basis und SAP Security Berater von RZ10 buchen
159 / 279
rz10.de - die SAP Basis und Security Experten
160 / 279
rz10.de - die SAP Basis und Security Experten
SAP Kernel Update durchführen von Tobias Harmes - Beitrag vom 25. Juni 2014
“Ähnlich einem Betriebssystem besitzt das SAP-System einen Kern, das zentrale Modul, das die auszuführenden Aufgaben (z. B. wenn ein Benutzer ein ABAP-Programm ausführt) auf freie Ressourcen (Workprozesse) verteilt, den Speicher verwaltet und andere Basisdienste leistet. Er bildet die Schnittstelle zwischen dem zugrundeliegenden Betriebssystem und den SAP-Anwendungen. Der SAP-Kernel ist ein eigener Prozeß (disp+work), der jeder SAP-Instanz zugrunde liegt.”
Und genau wie bei einem Betriebssystem, sollte auch der Kernel immer auf dem neusten Stand sein. So werden zum Beispiel Korrekturen am Kernel vorgenommen, die die Stabilität des SAP Systems durch Performance-Optimierung oder die Beseitigung von Fehlern sicherstellen. Des Weiteren sind auch viele Basisfunktionalitäten im SAP Kernel enthalten (wie das Security Audit Log), die durch ein Update positiv beeinflusst werden. Die genauen Verbesserungen, die jede Kernelversion mit sich bringt, können Sie in den dazugehörigen SAP Hinweisen nachlesen.
Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
HowTo zum Download (5 Seiten, Lesezeit ca. 10min)
161 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge HowTo Konfiguration von Adobe Document Services (ADS - SAP) Fehler "unable to save the local file information" im SAP Download Manager SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ SAP Basis und SAP Security Berater von RZ10 buchen
162 / 279
rz10.de - die SAP Basis und Security Experten
SAP Management Console lässt sich nicht mehr starten – Java Problem von Timo Eckhardt - Beitrag vom 30. Mai 2014
Die SAP unterstützt laut eigener Aussagen bestimmte Java 1.7 Versionen nur eingeschränkt oder gar nicht. Aus eigener Erfahrung bringt der Einsatz von Java 1.7.xx einige Stolpersteine mit sich, weshalb man bevorzugt noch die Java Version 1.6.xx nutzen sollte. Für den Fall, dass man doch Java 1.7.xx nutzen muss/möchte werde ich hier beschreiben, wie man die Management Console mit Java 1.7 zum Laufen bekommt.
Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Beim Öffnen der SAP Management Console über das jeweilige System http://:13 Erscheint eine der folgenden Fehlermeldungen: “Anwendung durch Sicherheitseinstellungen blockiert”
163 / 279
rz10.de - die SAP Basis und Security Experten
“Die Anwendung kann nicht ausgeführt werden”
“Anwendung kann nicht gestartet werden” – “ungültige Argumente angegeben – invalid Arguments”
164 / 279
rz10.de - die SAP Basis und Security Experten
Eine Variante wäre das gesamte SAP System auf den neusten Stand zu bringen. Ich möchte hier die Variante vorstellen, in der man die SAP Management Console einzeln auf den neusten Stand bringt um damit die SAP MMC wieder nutzen zu können. Software Download Center im SAP Net Dann lädt man sich die entsprechenden neusten Ressourcen der SAP Management Console herunter unter:
165 / 279
rz10.de - die SAP Basis und Security Experten
Download –> Support Packages and Patches –> Browse our Download Catalog –> Additional Components –> SAP Kernel –> SAP KERNEL <32/64-BIT/Unicode> (je nach Ihrer Plattform bzw. System) –> SAP KERNEL 7.20 <32/64-BIT> –> –> Database Independent.
Dort lädt man die entsprechenden Dateien mit dem Präfix “sapmc” herunter und entpackt diese mit SAPCAR auf Filesystemebene. Hierbei wird das Verzeichnis sapmc und deren Inhalt benötigt.
Nun navigiert man in das entsprechende Verzeichnis auf dem jeweiligen SAP System, wo die veraltete SAPMMC executables ($(DIR_EXECUTABLE)/servicehttp) liegen: z.B. /usr/sap//SYS/exe/uc//servicehttp Hier muss das alte Verzeichnis als Backup umbenannt werden und durch das extrahierte Verzeichnis ersetzt werden.
Nach einem Restart wird nun die neue SAP Management Console aktiv, die nun auch auf Client Rechnern mit Java 1.7.xx läuft. 1014480 – SAP Management Console (SAP-MC) 1792095 – Supportability of Java 1.7 with PI Integration Builder client tools 1764895 – Java Web Start kann signierte JAR-Dateien nicht verifizieren 1598282 – XI/PI:Neue Zertifikate zum Signieren von Jar-Dateien ab 2011 929144 – XI/PI:Jar-Dateien mit unterschiedl. Zertifikavten signiert
166 / 279
rz10.de - die SAP Basis und Security Experten Welche Erfahrungen haben Sie mit der SAP Management Console gemacht? Ich freue mich auf Ihr Feedback.
Verwandte Beiträge SAP Basis und SAP Security Berater von RZ10 buchen SAP Heartbleed: Kein OpenSSL - kein Problem?
167 / 279
rz10.de - die SAP Basis und Security Experten
SAP Oracle Listener startet nicht von Timo Eckhardt - Beitrag vom 7. Juni 2013
Der SAP Oracle Listener, der für die Verbindung zwischen SAP/JAVA Instanz und Datenbank verantwortlich ist, startet nicht mehr. Das verursacht Probleme beim Starten/Herunterfahren mit Hilfe des startsap und stopsap Scripts. Der Listener ist erforderlich für die Kommunikation zwischen Datenbank und SAP/Java System. Der Listener sollte als Datenbankuser (ora) gestartet werden können. Ist das Starten des Listeners nicht mehr möglich, fährt das SAP System / Java Instanz nicht mehr hoch. Diese Problemlösung bezieht sich auf das Betriebssystem UNIX/Linux. Um zu sehen ob der Listener gestartet ist führt man den Befehl lsnrctl status aus. Im konkreten Fall sahen die Fehlermeldungen dabei wie folgt aus: TNS-12541: TNS:no listener TNS-12560: TNS:protocol adapter error TNS-00511: No listener
[…] TNS-00511: No listener Linux Error: 111: Connection refused
Möchte man den Listener mit dem Befehl lsnrctl start starten, erhält man folgende Fehler: TNS-12555: TNS:permission denied TNS-12560: TNS:protocol adapter error TNS-00525: Insufficient privilege for operation […] TNS-00525: Insufficient privilege for operation Linux Error: 1: Operation not permitted Listener failed to start. See the error message(s) above…
Um den Fehler zu beheben muss folgendes sichergestellt beziehungsweise durchgeführt werden: 1. alle Listener mit dem User, der den Listener auch gestartet hat beenden (lsnrctl stop) 2. die Verzeichnisse /tmp/.oracle und /var/tmp/.oracle müssen existieren 3. im Verzeichnis /var/tmp/.oracle kann man sehen welcher User den Listener gestartet hat srwxrwxrwx 1
adm
sapsys 0 Apr 16 07:35
s.WORLD
srwxrwxrwx 1
adm
sapsys 0 Apr 16 07:35
s
srwxrwxrwx 1
ora
dba
0 Apr 16 07:35
s#3032.2
srwxrwxrwx 1
ora
dba
0 Apr 16 07:35
s#3032.1
In diesem Fall hat der User adm den Listener gestartet und auch nur dieser kann den Listener wieder beenden (lsnrctl stop).
168 / 279
rz10.de - die SAP Basis und Security Experten 4. Der Datenbankbenutzer (ora) hat die Berechtigungen auf die Ordner und alle deren Unterordner Nachdem sichergestellt ist, dass der Listener unter keinem anderen User läuft, sollten keine Dateien/Ordner unter /var/tmp/.oracle vorhanden sein. Jetzt kann man als ora User den SAP Listener erfolgreich starten. Zur Kontrolle kann man die Dateien/Ordner im Verzeichnis /var/tmp/.oracle überprüfen, hier sollte als Owner überall der ora User sein. ora > lsnrctl start LSNRCTL for Linux: Version 11.2.0.3.0 – Production on 15-APR-2013 10:50:56 Copyright (c) 1991, 2011, Oracle. All rights reserved. Starting /oracle//112_64/bin/tnslsnr: please wait… […] Service “” has 1 instance(s). Instance “”, status UNKNOWN, has 1 handler(s) for this service… The command completed successfully
Welche Lösungsmöglichkeiten haben Sie bei Listener-Problemen entdeckt? Ich freue mich auf Ihr Feedback.
Verwandte Beiträge ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account Ändern der SAP Job Benutzer brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set Oracle-/DB Administration und Performance Transaktionen J-Co Destination kann nicht gestartet werden
169 / 279
rz10.de - die SAP Basis und Security Experten
SAP Portal Anmelde-Popup beim Öffnen von MS Office-Dateien von Dominik Busse - Beitrag vom 16. Dezember 2013
Ein im SAP NetWeaver Portal angemeldeter Anwender möchte im SAP Knowledge Management Dokumente öffnen. Wenn es sich um Microsoft Office-Dateien handelt, erscheint bei jedem Zugriff eine erneute Authentifizierungsaufforderung (Basic Authentication).
Um die erneute Authentifizierungsaufforderung beim Öffnen von Microsoft Office-Dateien verhindern, gehen Sie wie folgt vor: 1. Navigieren Sie via Content Administration -> Portal Content in die Portal-Content-Verwaltung 2. Innerhalb der Portal-Content-Verwaltung navigieren Sie zum Portal Content -> Von SAP bereitgestellter Content -> Content für Endbenutzer -> Standardportalbenutzer -> iViews -> com.sap.km.iviews -> URL-Zugriff -> KM-Dokument-iView
170 / 279
rz10.de - die SAP Basis und Security Experten 3. 4. 5. 6.
Öffnen Sie KM-Dokument-iView zum Bearbeiten Wechseln Sie von der einfachen Ansicht auf Alle. Setzen Sie den Wert der Eigenschaft AuthScheme auf default. Speichern Sie die Einstellungen.
Nachdem Sie diese Einstellung übernommen haben, können Sie Microsoft Office-Dateien im SAP NetWeaver Portal öffnen, ohne bei jeder Office-Datei erneut zur Authentifizierung aufgefordert zu werden. Ich freue mich auf Ihr Feedback und hoffe Ihnen mit dieser Anleitung geholfen zu haben. Den offiziellen SAP-Hinweis finden Sie unter: http://service.sap.com/sap/support/notes/1628343
Verwandte Beiträge Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO Absolute Hyperlinks in Excel 2010 SAP NetWeaver Identity Management (IDM) Fehlerbehandlung für PowerShell Aufrufe
171 / 279
rz10.de - die SAP Basis und Security Experten
172 / 279
rz10.de - die SAP Basis und Security Experten
SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed von Silvia Scholer - Beitrag vom 8. Januar 2014
Wenn die Adobe Document Services (ADS) genutzt werden sollen, muss eine http-Verbindung eingerichtet werden. Hierfür die Transaktion SM59 aufrufen und die ADS Verbindung (Bezeichnung ADS) bearbeiten oder neu erstellen:
Besteht eine Verbindung bereits, kann per Doppelklick in die Verbindung abgesprungen werden. Es gilt safety first. Am besten ein Backup der aktuellen Konfiguration erstellen. Nun werden die Felder wie folgt editiert:
173 / 279
rz10.de - die SAP Basis und Security Experten
Als Verbindungstyp wird “G” angegeben für eine HTTP-Verbindung
Als Zielmaschine wird das System eingetragen, auf dem der ADS zur Verfügung stehen soll
Der Pfadpräfix lautet: /AdobeDocumentServices/Config?style=rpc
174 / 279
rz10.de - die SAP Basis und Security Experten
Da der ABAP-Stack mit dem Java-Stack über den ADSUser kommuniziert, wird als Benutzer der ADSUser gewählt. Falls dieser noch nicht existiert muss er über die Transaktion SU01 angelegt werden. Zur Überprüfung der Erreichbarkeit “Verbindungstest” ausführen
führen
wir
anschließend
einen
Verbindungstest
aus:
Es wird der Status “Target service not allowed” angezeigt.
175 / 279
rz10.de - die SAP Basis und Security Experten
Das Problem liegt darin, dass das System einen Proxy verwendet.
Für den Server muss deshalb eine Proxy-Ausnahme definiert werden. Über die Transaktion SICF kann diese Definition vorgenommen werden.
176 / 279
rz10.de - die SAP Basis und Security Experten
Bei den Filtereinträgen wird der Server eingetragen, für den die Proxy-Einstellung nicht gelten soll. Damit werden für diesen Server die Proxy-Einstellungen umgangen.
Zur Überprüfung der Erreichbarkeit führen wir anschließend erneut einen Verbindungstest aus: “Verbindungstest” ausführen. Interessanterweise sagt der SAP-Einrichtungsleitfaden, dass hier ein Fehler erscheint, der allerdings laut Hinweis 1177315 ignoriert werden kann. So auch in unserem Fall:
177 / 279
rz10.de - die SAP Basis und Security Experten
Nun muss dem Portal noch das System bekannt gemacht werden.
Anschließend können als Konfigurationstest über die Transaktion SA38 die nachfolgenden drei Jobs ausgeführt werden.
FP_TEST_00
FP_PDF_TEST_00 -> Es werden Versionsinformationen angezeigt
Ab NetWeaver Release 7.0 muss zusätzlich das Programm FP_CHECK_DESTINATION_SERVICE erfolgreich laufen
FP_CHECK_DESTINATION_SERVICE -> Es werden die übertragenen Bytes angezeigt
Laufen alle Jobs erfolgreich durch, so ist die RFC-Verbindung hergestellt.
Ich freue mich auf Ihr Feedback.
Verwandte Beiträge HowTo Konfiguration von Adobe Document Services (ADS - SAP) ABAP-Webservices mit dem SOA-Manager anlegen
178 / 279
rz10.de - die SAP Basis und Security Experten
179 / 279
rz10.de - die SAP Basis und Security Experten
SAP Speichermodell in Windows Umgebungen von Timm Funke - Beitrag vom 29. Januar 2011
Für Performance Untersuchungen ist es natürlich von großer Bedeutung, dass SAP Speichermodell vor Augen zu haben. Nur dann ist eine entsprechende Einordnung der SAP Parameter und der gemessenen Werte aus den entsprechenden Transaktionen möglich. Zur Veranschaulichung soll dieser Beitrag dienen, der das SAP Speichermodell in Windows Umgebungen darstellt.
FLAT Memory Model
Memory Management Windows / SAP => Kernel 7.00
Das Flat-Speichermodell wird mit dem 64-Bit-Windows zur Verfügung gestellt. Dieses Modell benötigt weniger CPU, aber mehr Speicherplatz. Es wird mit dem folgenden Profilparameter aktiviert: es/implementation = flat Mit dem Flat-Speichermodell werden alle Benutzerkontexte dauerhaft in allen Workprozessen zugeordnet. Ressourcenintensive Aufrufe, die ein Prozess-Working-Set modifizieren, werden nicht ausgeführt und proaktives Auslagern tritt ebenfalls nicht auf. Dieses Verhalten wird als sehr positiv gewertet, solange die Kontexte in den physischen Speicher passen. Sobald die größer werdenden Prozess-Working-Sets durch das Betriebssystem beschränkt werden, könnte der Seitenwechsel die Performance sehr beeinträchtigen, da das Betriebssystem zwischen den verwendeten und nicht verwendeten Kontexten nicht unterscheiden kann. Die Kontexte, die am längsten im System sind, werden als erstes ausgelagert. Wie viel Speicher zusätzlich benötigt wird, ist benutzerspezifisch und hängt davon ab, wie lange und wie viele Benutzer inaktiv sind. SAP rechnet zunächst mit über 30 % mehr physischen Speicher.
180 / 279
rz10.de - die SAP Basis und Security Experten Mit dem Seitenschutz wird sichergestellt, dass die verschiedenen Benutzerkontexte vor Missbrauch in anderen Kontexten geschützt sind. Die Seiten, die zum aktuell ausgeführten Benutzerkontext gehören, zählen allerdings nicht dazu. Windows erzeugt einen beträchtlichen Overhead an CPUVerbrauch beim Schützen der Seiten. Um wirklich vom Flat- Speichermodell zu profitieren, können der Speicherschutz mit dem folgenden Parameter deaktiviert werden: es/use_mprotect = false Dies ist nicht für Produktiv-Systeme empfohlen, da der SAP Support ein geschütztes Speichermodell benötigt. Wird der Speicherschutz deaktiviert und treten Probleme auf, die sich auf überschriebene Speicherbereiche beziehen, kann der SAP Support die Ursache nicht im Detail analysieren. Ein typisches Szenario für das ungeschützte Flat-Speichermodell ist die Operation in einer virtualisierten Umgebung. Da die Performance der virtualisierten Umgebung sehr sensibel auf die Anzahl der Systemaufrufe reagiert, reduziert das ungeschützte Flat- Speichermodell das Laden auf ESX beträchtlich.
Zero Management Model
Memory Management Windows / SAP < Kernel 7.00
Das klassische SAP-Speichermodell auf Microsoft Windows wurde für die 32-Bit-Adressierung entwickelt. Der gesamte Speicher, der für die ABAP-Transaktion benötigt wird (“Benutzerkontext”), wird in einer memory mapped file gespeichert. Der Benutzerkontext wird einem Workprozess beigefügt, wenn die Transaktion ausgeführt wird, und am Ende der Transaktion entkoppelt, wenn die Ausgabe an die Benutzeroberfläche gesendet wird. Im Folgenden werden die Vorteile des klassischen Modells erläutert: Jeder Benutzer kann den Adressbereich des Prozesses vollkommen ausnutzen. Hierbei wird jedoch vorausgesetzt, dass der maximale Benutzeradressbereich 3 GB beträgt und Sie noch Speicherplatz für das Coding und die Shared Buffer reservieren müssen. Außerdem haben Sie ca. 2 GB für den Benutzerkontext zur Verfügung. Ausschließlich die regelmäßig verwendeten Kontexte verbleiben im Speicher. Das WindowsBetriebssystem verschiebt die Seiten, die von einem Prozess entkoppelt wurden, in die modifizierte Seitenliste. Die ältesten Seiten dieser Liste werden ausgelagert.
181 / 279
rz10.de - die SAP Basis und Security Experten Der Nachteil des klassischen Modells besteht darin, dass die Betriebssystemaufrufe wie z. B. MapViewOfFile() sehr ressourcenintensiv sind, da die Prozessseitentabelle neu organisiert werden muss. Dieser Vorgang beansprucht außerdem einen kritischen Bereich innerhalb von Windows, in dem die Prozesse insbesondere auf den Multi-CPU-Servern serialisieren könnten. Weitere Informationen über die verschiedenen SAP Speichermodelle auf Windows Betriebssystemen enthält der SAP Hinweis # 1002587 – Flat-Speichermodell auf Windows und der SAP Hinweis # 88416 – Zero Administration Memory Management ab 4.0A/ Windows.
Verwandte Beiträge Performance Analysen im BW – ein erster Ansatz Wichtige Transaktionen für Performance Untersuchungen Performanceoptimierung der SAP BW Landschaft Betriebssystembefehle via Transaktion ausführen
182 / 279
rz10.de - die SAP Basis und Security Experten
SAP ST03N Änderung der Aufbewahrungszeit von genutzten Transaktionen von Silvia Scholer - Beitrag vom 6. Dezember 2013
Die Daten für die SAP ST03N (Systemlastmonitor, Workload Monitor) werden standardmäßig 3 Monate gesammelt und gespeichert. Oftmals ist es aber gewünscht, dass die Daten für einen längeren Zeitraum gespeichert werden. Zum Beispiel, wenn man im Zuge von Berechtigungsprojekten die in der Vergangenheit genutzten Transaktionen analysiert. Um die Aufbewahrungszeit zu verlängern, müssen folgende Schritte durchgeführt werden. Aufruf Transaktion ST03N
Für Systeme ab Release 700: Kollektor & Performance Datenbank -> Performance-Datenbank -> Workload Kollektor Datenbank -> Reorganization -> Steuerung
183 / 279
rz10.de - die SAP Basis und Security Experten
Die gewünschten Einstellungen können hier vorgenommen werden. Nach dem Speichern werden die Daten für die angegebene Zeit aufbewahrt. Für ältere Systeme können die Einstellungen durch folgenden Pfad vorgenommen werden: Kollektor & Performance Datenbank -> Performance-Datenbank -> Monitoring Datenbank -> Reorganization
184 / 279
rz10.de - die SAP Basis und Security Experten
Der entsprechende Hinweis dafür: 6833 – Löschen der Statistikdatei, Größe d. Statistikdatei Ich freue mich auf Ihr Feedback.
Verwandte Beiträge Wichtige Transaktionen für Performance Untersuchungen Genutzte Transaktionen aus dem SAP Workload Monitor ST03N exportieren
185 / 279
rz10.de - die SAP Basis und Security Experten
SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager von Tobias Harmes - Beitrag vom 4. Mai 2013
Mein Kollege Tobias Harmes hat in seinem Blogbeitrag “SAP Solution Manager 7.1 sapinst – SPM anstelle Installation Master” anhand des SAP Solution Managers 7.1 gezeigt, dass die SAP zunehmend den SAP Software Provisioning Manager zur Installation ihrer Produkte verwendet anstelle des altbekannten Installation Masters. Aber auch bei der Deinstallation von SAP Systemen kommt der SAP Software Provisioning Manager zum Einsatz. Um ein SAP System zu deinstallieren, führt man den SAP Provisioning Manager aus, als wolle man eine Installation durchführen. Unter dem Punkt “Generic Installation Options” werden die Deinstallationsroutinen geführt. Das Besondere an dieser Stelle gegenüber der Installation über den SAP Software Provsioning Manager ist der, dass die Deinstallationsroutinen unabhängig vom installierten SAP System funktionieren. Lediglich über die Art der Datenbank wird eine Unterscheidung getroffen. In dem Beispiel aus der Abbildung, handelt es sich um ein SAP System auf Basis eine MaxDB.
Nachdem man in Schritt 2 “Define Parameters”, unter Hilfestellung des SAP Software Provisioning Managers, weitere Angaben zum SAP System vorgenommen hat, werden in einer Übersicht die Eckdaten des zu deinstallierenden Systems noch einmal aufgeführt. Einen Auszug einer solchen Übersicht können Sie der folgenden Abbildung entnehmen.
186 / 279
rz10.de - die SAP Basis und Security Experten
Über “Next” gelangen Sie dann in Schritt 4, in dem die Deinstallation durchgeführt wird. Wie sind Ihre Erfahrung mit Deinstallationen im SAP Umfeld? Haben Sie evtl. sogar schon eine Deinstallation auf diesem Weg durchgeführt? Ich freue mich auf Ihr Feedback.
Verwandte Beiträge SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ Sprachpakte in SAP aktivieren - select one of the installed languages
187 / 279
rz10.de - die SAP Basis und Security Experten
SAP Transport Status zurücknehmen von Tobias Harmes - Beitrag vom 26. März 2014
Das Transportwesen ist essentieller Bestandteil im SAP Umfeld und gehört in den Bereichen des Customizings bzw. der Entwicklung zum Tagesgeschäft. Ein SAP Transport mit mehreren Beteiligten und damit mehreren Transportaufgaben ist keine Seltenheit. Doch wie gehen Sie damit um, wenn eine Transportaufgabe fälschlicherweise freigegeben wurde oder Inhalte in einem falschen Transportauftrag erfasst und freigegeben werden? Die Transportaufgabe ist durch die Freigabe gesperrt und kann aus dem Transportauftrag nicht mehr entfernt werden. Evtl. wollen Sie auch den ganzen Transportauftrag löschen. Auch diese Option bleibt Ihnen verwehrt, sobald Aufgaben im SAP Transport freigegeben sind. Die Standardvorgehensweisen sind sehr umständlich und kosten nicht nur viel Zeit, sondern besitzen auch ein gewisses Risikopotential.
Wenn Ihnen das bekannt vorkommt, wird Ihnen der folgende Trick die Arbeit an dieser Stelle erleichtern. Die SAP liefert im Standard einen Report mit aus, der für genau diese Szenarien zum Tragen kommt, nämlich der Report RDDIT076.
Die Ausgangssituation könnte so ähnlich aussehen, wie auf der folgenden Abbildung.
Starten Sie nun im ersten Schritt den Report über die Transaktion SA38. Sie gelangen daraufhin auf einen Selektionsbildschirm, in dem Sie den Transportauftrag bzw. die Transportaufgabe eingeben können. In diesem Beispiel wurde der Transportauftrag angegeben.
Nachdem Sie die Eingabe bestätigt haben, gelangen Sie auf eine Übersichtsseite. Auf dieser können Sie die zu ändernden Einträge einzeln markieren und sich die Details anzeigen lassen. Wechseln Sie nun in den Bearbeitungsmodus und nehmen Sie zum Beispiel die Änderung des Status vor, um die Freigabe rückgängig zu machen. Bestätigen und Speichern Sie zum Schluss die Änderungen. Natürlich können über diesen Report auch die anderen Eigenschaften des (SAP Transport-)Auftrags geändert werden.
188 / 279
rz10.de - die SAP Basis und Security Experten
Wie Sie der Abbildung entnehmen können, ist die Transportaufgabe zurückgesetzt worden und befindet sich wieder im Entwicklungsstatus.
Welche Reports haben Ihnen schon viel Zeit und Mühe erspart? Ich freue mich auf Ihre Antworten.
Verwandte Beiträge TP Befehle zur Transportsteuerung Transportauftrag aus Importqueue löschen Importeinplanung von Transportaufträgen via STMS Transporteur zu SAP Transport ermitteln Ausplanen eines eingeplanten Importauftrags
189 / 279
rz10.de - die SAP Basis und Security Experten
190 / 279
rz10.de - die SAP Basis und Security Experten
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI von Timo Eckhardt - Beitrag vom 5. April 2013
Im SAP XI/PI sperrt sich nach einer Passwortänderung für einen technischen User der Benutzer (XIAPPL / PIAPPL USER) in regelmäßigen Abständen immer wieder selbst.
Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwenden müssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafte Kennwortanmeldung zu vermeiden. Hierfür dient folgender Hinweis als Hilfe, er zeigt auf an welchen Stellen technische XI / PI User zum Einsatz kommen können und wo die Änderungen gepflegt werden müssen: https://service.sap.com/sap/support/notes/999962 Transaktion SU01 im R/3-System Exchange Profile SLDAPICUST SM59-Destination INTEGRATION_DIRECTORY_HMI SM59-Destination SAPXIPP* Data Supplier des SLD in der J2EE PMI-Store-Destination in der J2EE RFC-Destinationen in der J2EE Destination in J2EE für die sichere Kommunikation zwischen ABAP und Java SM59-Verbindungen für End-to-End-Monitoring SM59-Verbindungen für das GRMG-Monitoring Verbindungen von sendenden Business-Systemen Wenn die Änderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immer auftritt, stellt sich die Frage ‘ Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen noch kommen? ‘ hierzu hilft folgender SAP Hinweis https://service.sap.com/sap/support/notes/1665838
Transaktion SM21 (Systemlog) ausführen Zeitpunkt auswählen Zeitpunkt herum, an dem der User wahrscheinlich gesperrt wurde -> SysLog neulesen
191 / 279
rz10.de - die SAP Basis und Security Experten
Syslog anzeigen Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt
Der Benutzer SAPJSF deutet darauf hin, dass der User “XIAPPLUSER” von einer JAVA-Anwendung gesperrt wird. SAPJSF ist ein interner UME Benutzer, der für die Kommunikation zwischen Java und ABAP verantwortlich ist. Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendem Verzeichnis befinden: /usr/sap///j2ee/cluster/server#/log/system/httpaccess/responses*.trc In aktuellsten der Dateien ist nun nach häufigem Auftreten von folgenden Fehlern zu suchen: Unauthorized HTTP Responses im HTTP-Response-Protokol
[Mar 19, 2013 9:50:05 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95] [Mar 19, 2013 9:50:07 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18] [Mar 19, 2013 9:50:09 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27] [Mar 19, 2013 9:50:11 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21] [Mar 19, 2013 9:50:13 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]
HTTP/1.1 401 weißt auf den Error 401 hin, der auf unautorisierten Zugriff schließen lässt. Mithilfe der IP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mit falschen User Credentials aufzubauen. Es ist abhängig von der Systemkonfiguration, wann ein User nach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche). Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von
192 / 279
rz10.de - die SAP Basis und Security Experten Benutzername und Kennwort über die URL “/sld/cimom” genutzt. Hierfür prüfen Sie die Einstellungen des CIM-Clients auf dem Host 11.22.33.44. Sie enthalten ein falsches Kennwort für XIAPPLUSER / PIAPPLUSER. Damit haben Sie den Übeltäter für die Benutzersperrung ausfindig gemacht und können die korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktieren Sie uns, wir helfen Ihnen gerne. Eine Möglichkeit die Abhängigkeiten anderer Systeme zu vermeiden besteht darin einen eigenen technischen User für jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSER zu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL / PIAPPL erfolgen (z.B. XIAPPLABC für SID=ABC). Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dass die Kommunikation gestört wird. Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemein gültigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt. Referenzen SAP Notes #999962 – PI 7.10: Ändern der Kennwörter von PI-Service-Benutzern #1665838 – Ursache für Sperrung eines technischen PI-Benutzers herausfinden #1493272 – Benutzer wird automatisch gesperrt
Verwandte Beiträge Massensperren von Benutzern via SU10 SAP Benutzertypen richtig verwenden J-Co Destination kann nicht gestartet werden PI-Komponenten fehlen im SLD IDoc Status manuell ändern
193 / 279
rz10.de - die SAP Basis und Security Experten
SAP-Stern freischalten NetWeaver aktivieren
-
Notfallbenutzer
SAP*
in
SAP
von Andre Tenbuss - Beitrag vom 26. November 2014
Haben Sie sich schon einmal aus dem SAP System ausgeschlossen und nach einem Weg gesucht, den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*)? Möglicherweise kennen Sie folgendes Szenario: Im Rahmen der Vorbereitungen für eine Wartung sollen alle Benutzer in den Produktivmandanten gesperrt werden. Das ist z.B. mit Hilfe der SU10 schnell gemacht. Vergisst man nun z.B. den DDIC-Benutzer aus der Liste zu entfernen oder ist dieser beispielsweise durch zu viele Falschanmeldungen gesperrt, dann ist man aus dem System ausgesperrt.
Es gibt zahlreiche Gründe, welche die Ursache für einen Mandanten ohne ungesperrten Benutzer sein können. Im besten Fall lässt sich das Sperrkennzeichen bei einem Benutzer direkt aus der Datenbank löschen. Was ist aber zu tun, wenn die Kennwörter der Administrator-Benutzer nicht bekannt sind? Auch dafür gibt es einen Weg, welchen ich Ihnen heute gerne vorstellen möchte. Mit dem Notfallbenutzer SAP* kann man sich an ABAP-Systemen anmelden, auch wenn alle Benutzer gesperrt oder gelöscht wurden. Dieser Standardbenutzer ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Bevor Sie weitere Schritte versuchen, sollten Sie in jedem Fall testen, ob das Standardkennwort des Benutzers (PASS) funktioniert [Anmerkung: Aus Sicherheitsgründen sollten Sie die Standardkennwörter der Standardbenutzer dringend ändern!] Der Kernel-Benutzer SAP* kann über einen Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt. Es gibt zwei Schutzmechanismen:
1. Der Benutzer kann über Profilparameter aktiviert werden. 2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden. Nachfolgend wird beschrieben, welche Schritte Sie ausführen müssen, um den Notfallbenutzer SAPStern freischalten zu können (Benutzer SAP*).
Profilparameter Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Dies kann bspw. über die Transaktion RZ10 ausgeführt werden. Das System muss anschließend neu gestartet werden.
Benutzerstamm Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* übersteuert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden.
194 / 279
rz10.de - die SAP Basis und Security Experten
SAP-Stern freischalten Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden: update [SCHEMA].usr02 set BNAME=”SAP*_old” where BNAME=”SAP*” and MANDT=”[Zielmandant]” Für das der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Bitte beachten Sie, dass das SQL-Kommando unter Umständen an das jeweilige Datenbank-Management-System angepasst werden muss. Bitte prüfen Sie den Befehl genau, bevor Sie das Kommando ausführen. Sobald Sie den Benutzer SAP-Stern freischalten konnten, ist eine Anmeldung mit dem Standardkennwort PASS möglich. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden. Nach der Reparatur muss der Profilparameter login/no_automatic_user_sapstar wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* mit generiertem Kennwort angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören, gesperrt sein und über keine Berechtigungen verfügen. Haben Sie noch weitere Tipps oder Ergänzungen? Ich freue mich auf Ihr Feedback!
Verwandte Beiträge Überprüfung der SAP Standardbenutzer auf Initialkennwort SAP Basis und SAP Security Berater von RZ10 buchen Mandantenübergreifende SAP Benutzerliste erstellen
195 / 279
rz10.de - die SAP Basis und Security Experten
Saprouter als Service mit SNC von Timm Funke - Beitrag vom 26. Juni 2012
Soll ein saprouter unter Windows als Service installiert werden und dabei auch noch SNC mit der Option –k aktiviert werden, so ist die mit einem kleinen Trick möglich. C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p “service -r -K ^p:CN=Server, OU=0000123456, OU=SAProuter, O=SAP, C=DE^ -Y 0 -C 1000 -D -G c:usrsapsaproutersaprouter.log -J 50000000″ Dort wo die ^stehen müssen eigentlich Anführungsstriche stehen. Das funktioniert aber nicht richtig, da die Parameter schon komplett mit Anführungsstrichen eingeklammert sind. Ist der Dienst nun erst mal installiert, kann man die notwendige Anpassung in der Registry vornehmen: ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSAProuterImagePath die beiden (^) in (“) umstellen
196 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge Netzwerkverbindungen aus dem SAP testen Fehler beim Registrieren des saprouter Dienstes
197 / 279
rz10.de - die SAP Basis und Security Experten
SDCCN manuell konfigurieren von Silvia Scholer - Beitrag vom 10. Oktober 2014
Mittels der Transaktion “SDCCN” werden neben der EWA Generierung auch die Wartungszertifikate automatisch in den ABAP Systemen eingespielt. Bei Java Systemen geschieht dies durch die Konfiguration der SMD-Agenten. Für den Fall, dass die EWA Generierung oder die Wartungszertifikate nicht automatisch eingespielt werden, muss die “SDCCN” Konfiguration geprüft und ggfs. angepasst werden.
Voraussetzungen für die manuelle Konfiguration: Das ABAP System ist im SolMan unter “Konfiguration verwalteter Systeme” eingerichtet. Im Schritt “Systemparameter eingeben” muss “EWA-Alerts im Alert-Eingang” aktiviert sein. Bei der automatischen Konfiguration müssen die Services aktiviert sein Die “Back”-RFC Verbindung zum SolMan muss im verwalteten System eingerichtet sein. Manuelle Konfiguration: Über Springen->Einstellungen->Aufgabenspezifisch die aufgabenspezifischen Einstellungen öffnen. Dies ist notwendig, damit die “Back”-RFC Verbindung eingetragen werden kann.
Danach die “RFC Destinations” öffnen.
198 / 279
rz10.de - die SAP Basis und Security Experten
Unter dem Reiter “Destinationen” wird die “Back”-RFC Verbindung als neue RFC Verbindung eingetragen. Die Funktion der RFC Verbindung wird beim anschließenden Sichern geprüft. Ggfs. muss bei sehr alten SAP Releases das Benutzerkennwort neu vergeben werden.
Nach dem Sichern ist die “Back”-RFC Verbindung zum SolMan erfolgreich eingetragen.
Jetzt ist die “SDCCN” richtig konfiguriert, damit EWAs automatisch generiert und Wartungszertifikate automatisch eingespielt werden. Zum Testen der neuen Konfiguration starten wir einen Funktionstest. Dazu muss eine neue Aufgabe “Maintenance Package” eingeplant werden um die Verbindung zu testen. Im nachfolgenden Beispiel erfolgt die einmalige Ausführung des Jobs “Maintenance Package”. Hier ist zu beachten, dass bei “RFC-Masterdestination” die “Back”-RFC Verbindung zum SolMan eingetragen ist.
199 / 279
rz10.de - die SAP Basis und Security Experten
Nach dem Ausführen erscheint unter dem Reiter “Erledigt” beim Status ein grüner Hacken, der das erfolgreiche Ausführen des Jobs symbolisiert. Was genau der Job macht, steht im Jobprotokoll.
Der vorhandene, regelmäßig eingeplante Job “Maintenance Package” muss nicht umgeplant werden. Bei der nächsten Jobausführung wird die “Back”-RFC Verbidung zum SolMan verwendet, selbst wenn bei der Aufgabe ein anderes System eingetragen ist. Wem das stört, kann die Jobeinplanung auch löschen und neu anlegen.
Welche Erfahrungen haben Sie mit dem automatischen Einplanen von Wartungszertifikaten gemacht? Ich freue mich auf Ihre Antworten.
Verwandte Beiträge Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt
200 / 279
rz10.de - die SAP Basis und Security Experten Wartungszertifikate automatisch über den SAP Solution Manager beziehen SAP Basis und SAP Security Berater von RZ10 buchen Fehlerhafte Darstellung der Alert Inbox
201 / 279
rz10.de - die SAP Basis und Security Experten
Single Sign On für SAP GUI von Timm Funke - Beitrag vom 1. Februar 2011
Einrichtung SNC für SAP auf Windows Teil 1 Voraussetzungen und Hinweise Kerberos Single Sign-On (SSO) bietet eine einfache und sichere Anmeldemethodik für ein SAP System. Sie eignet sich, wenn Windows 2000 oder höher verwendet wird. Sofern das System für SSO konfiguriert ist, kann ein berechtigter Benutzer, der an Windows angemeldet ist, auf das SAP-System zugreifen, indem er es einfach im SAP-Logon-Fenster auswählt oder eine Verknüpfung verwendet. Der Benutzer braucht nicht bei jeder Anmeldung am SAP-System über SAP GUI für Windows eine Benutzerkennung und ein Kennwort einzugeben. Daher erleichtert SSO die Verwaltung der SAP-Systembenutzer. Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.175403-22 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Der Microsoft Kerberos Security Service Provider (SSP) bietet sichere Authentifizierung plus Verschlüsselung der Netzwerkkommunikation.
202 / 279
rz10.de - die SAP Basis und Security Experten
Folgende Hinweise und Dokumentationen sind zu beachten. Wie das ganze eingerichtet und konfiguriert wird, werde ich in meinem nächsten Beitrag zusammenstellen. SAP Hinweise 352295 – Microsoft Windows Single-Sign-On-Optionen 1257108 – Sammelhinweis: Analyse von Single Sign On (SSO)-Problemen 595341 – Installation issues with Single Sign-On and SNC 1043694 – Schl. Performance bei Verwendung von SNC für SSO 184277 – Längenbeschränkungen von SNC-Namen 150699 – Neueste Patches für SNC-Probleme 1153116 – Work Center: SAP SSO überschreiben SAP Installationsguides SAPNW700 InstallGuide mit SNC SSO Kapitel SAP Online Help http://help.sap.com/saphelp_nw73/helpdata/DE/44/0ebf6c9b2b0d1ae10000000a114a6b/frameset.ht m Weitere Infos, Whitepaper von Microsoft http://www.microsoft.com/isv/sap/technology/interop/ad.aspx Verfahren / Tool zum Rücksetzen von SAP Benutzer Passwörtern http://download.microsoft.com/download/5/7/f/57f1490e-8a8d-497b-bbaeec2a44b3799f/Password_Reset.pdf
Verwandte Beiträge SSO Troubleshooting Checklist
203 / 279
rz10.de - die SAP Basis und Security Experten Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible Single Sign On mit KeePass
204 / 279
rz10.de - die SAP Basis und Security Experten
Single-Sign-On: SSO2-Wizard
Trust-Verbindung
einrichten
mit
dem
von Eiko Wagenknecht - Beitrag vom 8. Januar 2015
Damit Benutzer eines SAP Portals ohne erneute Anmeldung Anwendungen eines SAP ERP-Systems nutzen können, ist die Einrichtung von Single-Sign-On erforderlich. Hierfür muss das Portalsystem im ERP-System als “Trusted System” hinterlegt werden. Alternativ zur klassischen Herangehensweise gibt es das SSO2-Tool, welches mit dem Portal mitgeliefert wird und diese Aufgabe stark vereinfacht und automatisiert.
Schritt 1: Das SSO2-Tool aufrufen Zum Start des Tools wird die folgende URL aufgerufen: http://:/sso2 (Host und Port des Portalsystems) Durch den im Screenshot markierten Statuseintrag wird angezeigt, welches System gerade verwaltet wird. Dort steht nach dem Aufruf des SSO2-Tools zunächst das Portalsystem. Es wird dementsprechend eine Liste der Systeme angezeigt, zu denen vom Portal aus eine Trust-Verbindung besteht.
Schritt 2: Verwaltungs-Verbindung zum ERP-System hinzufügen Da für den oben beschriebenen Anwendungsfall die umgekehrte Richtung interessant ist, also dem ERP-System das Portalsystem als Trust-Verbindung hinzugefügt werden soll, ist der nächste Schritt der Wechsel des verwalteten Systems auf das ERP-System. Dieser Wechsel findet über den Button “Verbindung zu entferntem System herstellen” statt. Im sich öffnenden Dialog sind die Verbindungsdaten zum ERP-System sowie ein ausreichend befugter Benutzeraccount einzutragen.
205 / 279
rz10.de - die SAP Basis und Security Experten
Wenn das Einloggen auf dem entfernten System funktioniert hat, steht dann an dieser Stelle der entsprechende Systemname.
Schritt 3: Hinzufügen des Portals als “Trusted System” Das eigentliche Hinzufügen des Portalsystems als “Trusted System” geschieht über die Funktion “Trusted System hinzufügen -> Durch Abfrage des Trusted Systems”. Hierdurch gleicht sich das System automatisch mit dem hinzuzufügenden System ab richtet dieses als “Trusted System” ein.
Auch an dieser Stelle wird nochmals ein entsprechend befugter Benutzeraccount benötigt, diesmal von dem Portalsystem.
Ist auch hier der Login erfolgreich verlaufen, wird vor der Einrichtung noch eine letzte Bestätigung angezeigt.
Nach Abschluss des Assistenten ist das Portalsystem nun bei dem ERP-System als Trusted System hinterlegt. Welche Erfahrungen haben Sie mit Single-Sign-On gemacht? Ich freue mich auf Ihre Kommentare.
206 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge SAP Basis und SAP Security Berater von RZ10 buchen Single Sign On mit KeePass Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible
207 / 279
rz10.de - die SAP Basis und Security Experten
Spool-Aufträge manuell löschen von Dominik Busse - Beitrag vom 3. Februar 2015
Der Spool-Bereich ist vollgelaufen und muss bereinigt werden, da die Spool-Aufträge stillstehen. Im Folgenden erkläre ich Ihnen, wie Sie mithilfe eines Reports manuell aufräumen können.
Spool-Aufträge mithilfe des Reports RSPO1041 löschen Im Zuge der Bereinigung des Spool-Bereichs müssen obsolete Spool-Aufträge gelöscht werden. Hierzu verwenden Sie den Report RSPO1041. Führen Sie diesen zunächst mit der Transaktion SA38 aus:
Es erscheint die Eingabemaske zum Löschen alter Spool-Aufträge. In dieser Eingabemaske können nun die Kriterien zum Löschen der Spool-Aufträge festgelegt werden. Diese Kriterien beschreibe ich im Folgenden.
Kriterien zum Löschen von Spool-Aufträgen Die oberen vier Bereiche in der Eingabemaske beziehen sich auf den Status der zu löschenden SpoolAufträge:
208 / 279
rz10.de - die SAP Basis und Security Experten
Ohne Ausgabeauftrag: Bezieht sich auf alle Spool-Aufträge, für die kein Ausgabeauftrag erstellt wurde. In Arbeit: Bezieht sich auf alle Spool-Aufträge, die sich im Status in Arbeit befinden. Fertige: Bezieht sich auf alle Spool-Aufträge, die erfolgreich bearbeitet (gedruckt und ggf. archiviert) wurden. Fehlerhafte: Bezieht sich auf alle Spool-Aufträge, bei deren Bearbeitung ein Fehler aufgetreten ist. Für jeden Status kann nun einzeln festgelegt werden, ob und für welchen Zeitraum diese gelöscht werden sollen. Hierfür wird der jeweilige Kasten vor dem Status angekreuzt und anschließend eine Zeitangabe in Tagen (älter als … Tage) gemacht. Die Angabe “älter als … Tage” bezieht sich dann
209 / 279
rz10.de - die SAP Basis und Security Experten auf alle Spool-Aufträge, die vor dem angegebenen Zeitraum erzeugt wurden. Zusätzlich kann auch angekreuzt werden, dass die Spool-Aufträge gelöscht werden, die veraltet sind. Das wiederum bezieht sich auf alle Spool-Aufträge, die das bei der Erzeugung erstellte Verfallsdatum bereits überschritten haben. Dieses Verfallsdatum beträgt im Standard 8 Tage. Im darunter liegenden Bereich Kalender kann spezifiziert werden, welche Tage einer Woche für die Berechnung der Angabe “älter als … Tage” herangezogen werden sollen. Hier wird zwischen allen Tagen oder nur Werktagen unterschieden. In jedem Fall muss ein Werkskalender im Feld Fabrikkalender-ID angegeben werden.
Im untersten Bereich Weitere Bedingungen können die Kriterien zum Löschen von Spool-Aufträgen weiter eingeschränkt werden:
Hierbei können Sie zunächst Systemname und Mandant eingrenzen. Außerdem lässt sich auch der Erzeuger (Username) der zu löschenden Spool-Aufträge einschränken. Noch genauere Einschränkungen können mithilfe der Kriterien Titel (des Spool-Aufrags), Spool-Auftragsname, Spool-Auftrag (Suffix1), Spool-Auftrag (Suffix2) und Ausgabegerät erzielt werden. Dadurch lassen sich ganz bestimmte Spool-Aufträge filtern: Titel: Der Titel, der auf dem Deckblatt des Auftrags erscheinen soll. (Nur verfügbar, wenn das Ausgabegerät das SAP-Standarddeckblatt druckt.) Spool-Auftragsname: Dreiteiliger Name eines Spoolauftrags, wobei der Name automatisch vom Spool-System bestimmt wird, kann aber auch vom erzeugenden Benutzer bzw. Programm eingetragen werden. Es gibt keine zwingende Namenskonvention. Spool-Auftrag (Suffix): Dieses Feld entspricht laut F1-Hilfe dem Feld Spool-Auftragsname. Ein Spool-Auftrag kann sowohl einen Spool-Auftragsnamen als auch einen Titel besitzen. Ersterer wird automatisch vom Spool-System erzeugt, letzterer muss explizit vom erzeugenden Benutzer bzw. Programm eingetragen werden. Ausgabegerät: Langer Name eines Ausgabegerätes. Der lange Name kann bis zu 30 Zeichen umfassen. Beachten Sie Groß-/ Kleinschreibung des Ausgabegeräts.
210 / 279
rz10.de - die SAP Basis und Security Experten Nachdem alle Kriterien nach Ihren Wünschen festgelegt wurden, kann der Report ausgeführt (Ausführen – F8) werden und die entsprechenden Spool-Aufträge werden gelöscht. Wenn Sie zunächst nur einen Probelauf durchführen möchten, um zu prüfen, welche Spoolaufträge gelöscht werden sollen, finden Sie unterhalb des Bereiches Kriterien zur Auswahl der zu löschenden SpoolAufträge noch die Option Nur Protokoll ohne Löschen?
Wie häufig sollten Spool-Aufträge gelöscht werden? Das oben beschriebene manuelle Vorgehen ist besonders dann sinnvoll, wenn der Spool-Bereich bereits vollgelaufen ist. Eine periodische Einplanung des Löschjobs im Hintergrund ist oft sinnvoller. Es ist in jedem Fall empfehlenswert, die Spool-Aufträge regelmäßig zu löschen, wobei die Häufigkeit vom jeweiligen System abhängig gemacht werden muss. Allerdings sollten Sie bedenken: Je seltener die Spool-Aufträge gelöscht werden, desto länger wird der Löschvorgang dauern und desto eher wird sich dieser auf die Performance des Gesamtsystems auswirken. Folglich sollten Sie Spool-Aufträge regelmäßig und öfter Löschen, da dann mit jedem Löschvorgang auch weniger Spool-Aufträge auf einmal gelöscht werden müssen. Wie sind Ihre Erfahrungen mit dem Löschen von Spool-Aufträgen? Führen Sie den Report zum Löschen von Zeit zu Zeit manuell aus oder haben Sie diesen bereits als Job im Hintergrund eingeplant? Ich freue mich auf Ihre Antworten und Kommentare!
Verwandte Beiträge Wichtige Transaktionen für Performance Untersuchungen Neue Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace SAP Basis und SAP Security Berater von RZ10 buchen Transportauftrag aus Importqueue löschen Ausplanen eines eingeplanten Importauftrags
211 / 279
rz10.de - die SAP Basis und Security Experten
Sprachpakte in SAP aktivieren - select one of the installed languages von Tobias Harmes - Beitrag vom 12. Juni 2013
Vielleicht kennen Sie das Problem. Sie haben ein neues SAP System aufgesetzt oder ein weiteres Sprachpaket in Ihrem System erfolgreich installiert und wollen die Anmeldesprache auf dem Applikationsserver auf eine andere Sprache setzen. Bei der Anmeldung erscheint aber die Fehlermeldung “select one of the installed languages“. Ich selbst bin auf diese Meldung bei der Umstellung der Anmeldesprache auf einem Netweaver 7.31 ERP 6 EhP 6 gestoßen.
Bevor Sie ein Sprachpaket aktivieren vergewissern Sie sich, dass Sie alle Vorarbeiten erfolgreich abgeschlossen haben. Dazu gehören folgende zwei Punkte. 1. Die Sprache ist im System installiert 2. Die Profilparameter in der Transaktion RZ10 sind gesetzt Für den ersten Punkt genügt ein Blick in die Transaktion SMLT. Dort sind alle installierten Sprachen aufgelistet. Punkt Nummer zwei wird detailliert im Blogbeitrag “Anmeldesprache für SAP Dialogbenutzer festlegen” von meinem Kollegen Tobias Harmes beschrieben. Sind beide Punkte erledigt folgt der eigentliche Teil. Starten Sie die Transaktion I18N und wählen Sie, wie in der Abbildung gezeigt, die System Konfiguration aus.
Im Darauf folgenden Menü fügen Sie die gewünschte Sprache in der Liste hinzu. In der Abbildung wurde die Sprache Deutsch hinzugefügt.
212 / 279
rz10.de - die SAP Basis und Security Experten
213 / 279
rz10.de - die SAP Basis und Security Experten
Bestätigen Sie schlussendlich Ihre Eingaben und markieren Sie die zu aktivierenden Sprachen. Drücken Sie den Button aktivieren, um die Konfiguration abzuschließen.
214 / 279
rz10.de - die SAP Basis und Security Experten
Sie erhalten am Ende noch ein Ergebnisprotokoll mit dessen Hilfe Sie die durchgeführten Arbeitsschritte kontrollieren können.
215 / 279
rz10.de - die SAP Basis und Security Experten
Hat Ihnen der Beitrag geholfen bzw. haben Sie ähnliche Erfahrungen bei der Konfiguration von Sprachpaketen gemacht? Dann zögern Sie nicht und schreiben Sie mir Ihre Erfahrungen in einem Kommentar.
Verwandte Beiträge Pseudo Sprachinstallation im SAP BW Download von SAP Sprachpaketen Anmeldesprache für SAP Dialogbenutzer festlegen Verhalten von Berechtigungen nach SAP Upgrades Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager
216 / 279
rz10.de - die SAP Basis und Security Experten
217 / 279
rz10.de - die SAP Basis und Security Experten
SSL Webservices im SAP nutzen von Tobias Harmes - Beitrag vom 3. Februar 2011
Für die Anbindung von produktiven Webservices ist eine verschlüsselte Verbindung aus naheliegenden Gründen natürlich bevorzugt. Allerdings muss man für eine SSL-Verbindung einige Vorarbeiten leisten, die man auf Client-Seite (z.B. mit einem Internet Explorer) in der Regel nicht hat. Z.B. möchte ein SAP-System im Trust-Manager genau die Stammzertifikate mitgeteilt bekommen, denen es Vertrauen darf. Hat man das nicht getan, tauchen in den Programmen Fehler wie “ICM_HTTP_INTERNAL_ERROR” und im ICM-Log (Transaktion smicm->Springen->Trace Datei) folgende Fehlermeldungen auf: [Thr 4832] *** ERROR during SecudeSSL_SessionStart() from SSL_connect()==SSL_ERROR_SSL [Thr 4832] session uses PSE file “xxxSAPSSLC.pse” [Thr 4832] SecudeSSL_SessionStart: SSL_connect() failed secude_error 9 (0x00000009) = “the verification of the server’s certificate chain failed” [Thr 4832] >> Begin of Secude-SSL Errorstack >> [Thr 4832] ERROR in ssl3_get_server_certificate: (9/0x0009) the verification of the server’s certificate chain failed # ERROR in af_verify_Certificates: (24/0x0018) Chain of certificates is incomplete : “OU=Class 3 Public Primary Certification Auth ERROR in get_path: (24/0x0018) Can’t get path because the chain of certificates is incomplete # [Thr 4832] << End of Secude-SSL Errorstack [Thr 4832] SSL_get_state() returned 0x00002131 “SSLv3 read server certificate B” [Thr 4832] SSL NI-sock: local=x.x.x.x:12345 peer=y.y.y.y:443 [Thr 4832] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000248AAF0)==SSSLERR_SSL_CONNECT [Thr 4832] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-57): SSSLERR_SSL_CONNECT
Dieser Fehler wird auch in SAP Hinweis 1094342 beschrieben. Für den Import der Stammzertifikate benötigt man diese in Dateiform. Dies geht relativ einfach mit dem Internet Explorer. Wichtig: Den IE als Administrator ausführen, ansonsten ist ein Zertifikatsexport in eine Datei nicht möglich.
Auf der Zielseite einen Doppelklick auf das Zertifikatssymbol.
218 / 279
rz10.de - die SAP Basis und Security Experten
Der Zertifikatspfad zeigt die notwendigen Stammzertifikate, die importiert werden müssen.
Für jeden Eintrag der Zertifikatskette muss man einmal “In Datei kopieren” auswählen.
219 / 279
rz10.de - die SAP Basis und Security Experten
Dort vorzugsweise ein binär-codiertes Zertifikat verwenden. Das Base-64-Format, dass im Hinweis erwähnt wird, hat nicht funktioniert. Der Importvorgang im SAP muss dann über die Transaktion STRUST in einer Client-PSE erfolgen. Je nach dem wie man den Aufruf macht, müssen die Zertifikate in andere PSEs importiert werden. Die genutzte PSE kann man z.B. in dem ICM-Log sehen. Die verwendete SAPSSLC.pse entspricht hier der “SSL-Client (Standard)” im Trust-Manager.
Um das Zertifikat der Zertifikatsliste hinzuzufügen, auf “Zertifikat importieren” gehen.
220 / 279
rz10.de - die SAP Basis und Security Experten
Die Datei auswählen und “Binär” auswählen.
Danach das angezeigte Zertifikat in die Liste aufnehmen und sichern. Danach den ICM-Server durchstarten (smicm). Nun sollte der Zugriff funktionieren. Wichtig ist, dass die Domain in der URL mit dem Common Name in dem Zertifikat übereinstimmt. Ansonsten gibt einen Fehler vergleichbar mit der IEZertifikatswarnung “Der Hostname stimmt nicht überein”, und die Verbindung schlägt fehl. Im ICM-Log würde das so aussehen: [Thr 1560] MatchTargetName(“t1234.example.com”, “CN=z99999.example.com, OU=Applications, O=”example.com, Inc.”, L=Hannover [Thr 1560] SSL NI-sock: local=x.x.x.x:53253 peer=y.y.y.y:443 [Thr 1560] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000252FE20)==SSSLERR_SERVER_CERT_MISMATCH [Thr 1560] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-30): SSSLERR_SERVER_CERT_MISMATCH {0003000b} [icxxconn
Tipp: In der SM59 eine “HTTP-Verbindung zu ext. Server” anlegen, damit kann man in der Regel schneller testen, als jedes Mal den Webservice zu debuggen.
Verwandte Beiträge ABAP-Webservices mit dem SOA-Manager anlegen HowTo Konfiguration von Adobe Document Services (ADS - SAP)
221 / 279
rz10.de - die SAP Basis und Security Experten
222 / 279
rz10.de - die SAP Basis und Security Experten
SSO Troubleshooting Checklist von Tobias Harmes - Beitrag vom 2. Februar 2012
Single Sign On ist ein beliebtes Thema aus der Kategorie kleines Problem – lange Fehlersuche. Ich habe mir dafür eine kleine Checkliste zusammengestellt. Die passenden Quell-Hinweise sind im jeweiligen Check verlinkt. Ich freue mich über jeden Kommentar – z.B. wenn noch ein möglicher Check fehlen sollte.
Check 1 Systemversion und Version von SAPSECULIB oder SAPCRYPTOLIB
Welche Systemversion wird eingesetzt bzw. unterscheiden sich Test- & Produktivsystem? Report SSF02 mit Parameter “Version ermitteln” (z.B. über SE38) ausführen Result: SSF_API_OK Wenn nicht: STRUSTSSO2 im eigenen und ggf. im 000-Mandant prüfen Prüfen ob die SAPSECULIB oder SAPCRYPTOLIB aktuell ist: http://service.sap.com/download -> Download -> SAP Cryptographic Software. Die Profilparameter müssen korrekt gesetzt sein: ssf/ssfapi_lib = (SAP Security Library) ssf/name = SAPSECULIB sec/libsapsecu = (SAP Security Library) Siehe dazu auch: Hinweis 701205 – Single Sign-On über SAP-Anmeldetickets
Check 2 Profilparameter
RZ11 temporär, RZ10 permanent login/accept_sso2_ticket login/create_sso2_ticket icm/host_name_full
1 2 (ohne Zertifikat) FQDN (z.B. hostname.example.com), Achtung Reverse Proxies!
Check 3 Transaktion STRUSTSSO2
223 / 279
rz10.de - die SAP Basis und Security Experten System-PSE prüfen, muss grün sein
Check 4 Transaktion SSO2
Die Transaktion ist zwar schon veraltet, die Fehlermeldungen dort können aber sehr gut recherchiert werden
Das Zertifikat muss ggf. in die Trust-Liste der Systeme (STRUSTSSO2), die das Logon-Ticket akzeptieren (sofern das Ticket überhaupt signiert ist). RFC-Destination: NONE
Check 5: Transaktion SICF
Bei Nutzung von SSO-Tickets für eigene Webservices: /default_host/sap/bc/srt/rfc/sap/WEBSERVICENAME /default_host/sap/bc/bsp/sap/system_test (siehe nächsten Punkt) Sind die aktiv?
224 / 279
rz10.de - die SAP Basis und Security Experten Check 6 : Transaktion SE80, Testwebseite SSO
SYSTEM_TEST/test_sso2.htm –> Testen (F8) Wenn nicht verfügbar –> SICF prüfen (Check 5)
Die URL oben kopieren und danach alle Browser-Fenster schließen. Danach neuen Browser aufmachen und probieren. Beispiel-URL:http://hostname.example.com:8000/sap(bD1kZSZjPTgwMA==)/bc/bsp/sap/system_test/ test_sso2.htm Da sollte ein Cookie á la: ‘MYSAPSSO2=…’ sein. Alternativ auch javascript:alert(document.cookie); Siehe dazu auch: Hinweis 817529 – Überprüfung der SSO-Konfiguration
Verwandte Beiträge Single Sign On für SAP GUI Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario Single Sign On mit KeePass Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible Kontrolleurzuordnung kann nicht gelöscht werden
225 / 279
rz10.de - die SAP Basis und Security Experten
226 / 279
rz10.de - die SAP Basis und Security Experten
SUM Fehler – sapcontrol service certificate is not trusted von Timo Eckhardt - Beitrag vom 16. September 2014
SUM Fehler – sapcontrol service certificate is not trusted – Beim Starten des Software Update Managers wird seit der Version SP10 PL8 (SUM10SP10_8-20006543.SAR) darauf geachtet, dass eine HTTPS Connection vorhanden ist. Das folgende Fehlerbild lässt sich im SUM nicht überspringen, sodass zunächst der Ursache auf den Grund gegangen werden muss um mit dem Update fortfahren zu können.
sapcontrol service certificate is not trusted for host
227 / 279
rz10.de - die SAP Basis und Security Experten Mehr Informationen zu dem Fehler kann man dem Logfile entnehmen, welches in der Fehlermeldung aufgeführt wird: /usr/sap/SID/SUM/sdt/log/SUM/CONFIGURE-SAPCONTROL-CONNECTION-FORCI_01.LOG Jun 27, 2014 7:31:58 PM[Info ]: SUM sdt directory is /usr/sap/SID/SUM/sdt/param. Jun 27, 2014 7:31:58 PM[Info ]: /usr/sap/SID/SUM/sdt/param/jump_config.txt file contains key /sapstartsrv/httpsconnection. Jun 27, 2014 7:31:58 PM[Info ]: The https option /sapstartsrv/httpsconnection from file /usr/sap/SID/SUM/sdt/param/jump_config.txt is set to true. Jun 27, 2014 7:31:58 PM[Info ]: Port: 58314 is opened And could be used. Jun 27, 2014 7:31:58 PM[Info ]: Port: 58313 is opened and could be used. Jun 27, 2014 7:31:58 PM[Info ]: The system can be accessed via HTTPS. Jun 27, 2014 7:31:58 PM[Info ]: Checking for certificate … Jun 27, 2014 7:31:58 PM[Info ]: Getting missing certificates for host SID and instance with ###… Jun 27, 2014 7:31:58 PM[Error ]: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target Jun 27, 2014 7:31:58 PM[Error ]: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target Jun 27, 2014 7:31:58 PM[Error ]: The following problem has occurred during step execution: com.sap.sdt.util.diag.DiagException: The sapcontrol service certificate is not trusted for host SID, instance ##. For more information, see section “Verifying Certificates” in the SUM guide.
Damit der Software Update Manager (SUM) auch ohne eingerichtetes HTTPS genutzt werden kann, kann man die Konfigurationsdatei jump_config.txt anpassen. Zuvor ist es jedoch notwendig den SUM vollständig zu beenden. cd /usr/sap/SID/SUM/sdt/param/ vi jump_config.txt Folgenden Eintrag wie folgt von “true” auf “false” abändern: ### Sapcontrol web service configuration /sapstartsrv/httpsconnection = false
Nun kann man den SUM erneut starten und mit dem eigentlichen Update fortfahren. Bitte beachten Sie dabei, dass dieser Schritt künftig bei jedem Update mit dem SUM durchgeführt werden muss. Welche Erfahrungen haben Sie mit dem SUM gemacht? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ SAP Basis und SAP Security Berater von RZ10 buchen SUM - validation of deployment queue completed with error
228 / 279
rz10.de - die SAP Basis und Security Experten
229 / 279
rz10.de - die SAP Basis und Security Experten
SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ von Silvia Scholer - Beitrag vom 6. Dezember 2013
Bei dem Update eines Solution Manager 7.1 mit dem Software Update Manager (SUM) 1.0 SP09 tritt folgender Fehler auf: Invalid SAPServiceSID user credentials for host
230 / 279
rz10.de - die SAP Basis und Security Experten Die Überprüfung des Passwortes kann bei Windows wie folgt an einer beliebigen lokalen Freigabe durchgeführt werden: d:\>net use \\%COMPUTERNAME%\sapmnt correctPassword /USER:SAPserviceSID The command completed successfully.
d:\>net use \\%COMPUTERNAME%\sapmnt wrongPassword /USER:SAPserviceSID System error 86 has occurred.
Da die Überprüfung des Passwortes zeigt, dass das Passwort korrekt ist und dieser Fehler erst beim Java Update auftritt und somit das ABAP Update erfolgreich durchgeführt wurde, ist davon auszugehen, dass das Passwort nicht die Ursache für den Fehler darstellt.
231 / 279
rz10.de - die SAP Basis und Security Experten
Das Problem liegt hier im falschen User. Die Standardeinstellung des User Names ist .\SAPServiceSID und wird übersetzt als \SAPServiceSID. Da der User aber kein lokaler Benutzer auf dem Server ist sondern ein Domänen-Benutzer, muss der User Name \SAPServiceSID lauten. Beim ABAP Update findet die richtige Übersetzung automatisch statt, deshalb gab es an dieser Stelle keine Fehlermeldung. Ich freue mich auf Ihr Feedback
Verwandte Beiträge SAP Solution Manager Key generieren SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager JSPM Start: Error while detecting start profile Security Optimization Self Services mit dem SAP Solution Manager 7.1 SUM Fehler – sapcontrol service certificate is not trusted SAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master
232 / 279
rz10.de - die SAP Basis und Security Experten SUM - validation of deployment queue completed with error SAP Kernel Update durchführen
233 / 279
rz10.de - die SAP Basis und Security Experten
SUM - validation of deployment queue completed with error von Timo Eckhardt - Beitrag vom 6. März 2014
Beim Patchen des Java Stacks eines SAP Systems bricht der Software Update Manager (SUM) im Schritt Configuration 5.3 mit folgendem Fehlerbild ab: Validation of deployment queue completed with error: [ERROR Code DPL.DCAPI.1055] ValidationException. Reason: SDU loading excpetion occurde while validating archives. sap.com/WD-ADOBE: Validation of Archive /usr/sap/trans/EPS/WDADOBE10_0-10******.SCA for component null/null finished with warning. See Deploy Controller log /usr/sap//SUM/sdt/log/SUM/deploy_api.0.log for details
234 / 279
rz10.de - die SAP Basis und Security Experten
Auch ein “Repeat step from Point of failure” bringt uns an dieser Stelle nicht weiter. In diesem Fall deutet die Warnmeldung “null/null finished with warning” darauf hin, dass der Software Update Manager (SUM) im angegebenen Verzeichnis /usr/sap//SUM nicht genügend freien Speicherplatz zur Verfügung hat. Bitte vergrößern Sie das Laufwerk oder löschen überflüssige
235 / 279
rz10.de - die SAP Basis und Security Experten Dateien. Es sollte mindestens 3 mal so groß sein wie die zu installierenden Files.
Hilfreiche SAP Notes in diesem Zusammenhang: 1763605 – Error: “[ERROR CODE DPL.DCAPI.1033] ValidationException Reason: null” during SUM’s VALIDATE-QUEUE step 891895 – JSPM: benötigter Plattenplatz
Was sind Ihre Erfahrungen mit dem Software Update Manager (SUM)? Haben Sie Fragen oder Problemstellungen?
Verwandte Beiträge JSPM Start: Error while detecting start profile SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ SUM Fehler – sapcontrol service certificate is not trusted
236 / 279
rz10.de - die SAP Basis und Security Experten
SYNCMARK blockiert Importqueue: wrong syntax in tp call von Dominik Busse - Beitrag vom 16. Dezember 2013
Die Importqueue eines neuinstallierten SAP ERP Systems wird durch den Auftrag SYNCMARK ohne Zielmandanten blockiert. Beim Versuch den Auftrag zu entfernen erscheint stets die Fehlermeldung: wrong syntax in tp call.
Das Problem mit dem SYNCMARK: Durch den Auftrag SYNCMARK ist das manuelle Hinzufügen weiterer Aufträge deaktiviert, sodass der Importqueue keine weiteren Aufträge angehängt werden können. Somit blockiert der Auftrag die Importqueue, da sich der Auftrag nicht entfernen lässt – weder durch manuelles löschen, noch durch das Hinzufügen eines Zielmandanten. Die Fehlermeldung lautet stets: wrong syntax in tp call.
237 / 279
rz10.de - die SAP Basis und Security Experten
Entfernen des SYNCMARK und lösen des Problems: Zunächst schalten Sie sich Remote auf den Server des betroffenen SAP-Systems. Hier navigieren Sie in folgendes Verzeichnis: Unter Windows: \usr\sap\trans\buffer\ Unter Linux/Unix: /usr/sap/trans/buffer/
In diesem Verzeichnis finden Sie die Bufferdateien Ihrer einzelnen SAP-Systeme. Hier öffnen Sie die Bufferdatei des betroffenen Systeme, welche mit der SID des Systems benannt ist: Unter Windows: write Unter Linux/Unix: vi
238 / 279
rz10.de - die SAP Basis und Security Experten
In der ersten Zeile dieser Datei sehen Sie den Eintrag des SYNCMARK-Auftrags. Im Gegensatz zu den anderen Einträgen ist dieser jedoch nicht auskommentiert. Kommentieren Sie den entsprechenden Eintrag durch das Einfügen eines #-Symbols aus und speichern Sie.
Wechseln Sie anschließend wieder in die Importqueue Ihres SAP-Systems und aktualisieren Sie diese. Als Ergebnis sollte SYNCMARK aus der Importqueue verschwunden sein. Darüberhinaus ist die Option zum Anhängen weiterer Aufträge wieder aktiviert.
239 / 279
rz10.de - die SAP Basis und Security Experten
Die Importqueue sollte nun wieder vollständig einsatzbereit sein. Ich hoffe ich konnte Ihnen mit meinem Beitrag weiterhelfen und freue mich sehr auf Ihr Feedback und Ihre Kommentare.
Verwandte Beiträge TP Befehle zur Transportsteuerung Dumps nach Abbruch der SPAM SAP Systemkopie mit ChaRM und Urgent Corrections im Einsatz Transportauftrag aus Importqueue löschen Importeinplanung von Transportaufträgen via STMS Ausplanen eines eingeplanten Importauftrags
240 / 279
rz10.de - die SAP Basis und Security Experten
Systemauslastung aufzeichnen und analysieren von Dominik Busse - Beitrag vom 5. August 2014
Auf dem SAP-System grassiert ein regelmäßiger Fehler. Mit folgendem Report können Sie die Systemauslastung automatisch aufzeichnen und den Fehler anschließend komfortabel analysieren.
Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Mithilfe des Reports SDF/MON/ (Display Snapshot Monitoring) können Systemauslastung eines Systems und belegte Workprozesse sowie weitere Systemwerte für einen beliebigen Zeitraum detailliert festgehalten werden. Wenn das Problem also regelmäßig auftritt und sich sogar auf einen bestimmten Zeitraum eingrenzen lässt, können Sie mithilfe des SDF/MON/ komfortabel relevante Informationen sammeln. Dieser erstellt automatisch und zu frei wählbaren Zeitpunkten Snapshots von relevanten Systeminformationen.
Systemauslastung mit SDF/MON/ aufzeichnen Den Report können Sie einerseits über die SE38 ausführen (entsprechende Berechtigungen vorausgesetzt) oder aber durch Eingabe des Transaktionscode /n/SDF/MON/ (bei Eingabe ohne /n wird die Transaktion nicht gefunden). Hinweis: In manchen Systemen ist der Report nur in englischer Sprache verfügbar. Falls Sie den Report also Ausführen und keine Texte sehen, loggen Sie sich aus und geben Sie bei der Anmeldung am SAP GUI als Anmeldesprache EN (englisch) an.
241 / 279
rz10.de - die SAP Basis und Security Experten
Über Schedule New Monitoring (Monitoring neu einplanen) können Sie eine neue Aufzeichnung der Systemauslastung planen und anlegen. Geben Sie zunächst eine Description (Beschreibung) ein, unter welcher Sie die Aufzeichnung später aufrufen können. Anschließend setzen Sie den Zeitraum der Aufzeichnung (Start time / End den Verfallszeitpunkt der gespeicherten Auswertungsdatei (Do not delete before) fest.
time)
und
Weiterhin können Sie den Intervall der Aufzeichnung (Interval in seconds) festlegen. Hiermit können Sie bestimmen, dass bspw. alle 10 Sekunden ein Snapshot der Systemauslastung in Ihrer Aufzeichnungsdatei gespeichert wird. Darüberhinaus können Sie die maximale Dateigröße (Restrict size) limitieren. Nun können Sie noch festlegen, welche Informationen in dem Snapshot abgespeichert werden sollen. So können Sie beispielsweise alle 10 Sekunden Informationen über folgende Systemwerte sammeln: – Workprozesse (List of workprocesses) – Dispatcher Queue – Auslastung CPU und Paging des Betriebssystems (CPU and paging activity) – Prozesse mit höchsten CPU-Verbrauch (Top CPU processes) – Speicherauslastung (Ext. and heap mem.) – Anzahl der Benutzersitzungen (No. of logins/sessions) – Einträge in In- und Outbound-Queue – Freie RFC-Workprozesse (Free RFC WPs) Abschließend können Sie noch den/die Server angeben, auf welchem/welchen Sie Systemauslastung aufzeichnen wollen.
242 / 279
rz10.de - die SAP Basis und Security Experten
Nachdem Sie die Einstellungen nach Ihren Anforderungen gepflegt haben, können Sie auf Ausführen klicken. Je nach angegeben Zeitpunkt, wird die Aufzeichnung entweder direkt gestartet oder es erscheint eine Meldung über die erfolgreiche Einplanung Ihrer Monitoring-Aufzeichnung:
243 / 279
rz10.de - die SAP Basis und Security Experten
Aufzeichnung der Systemauslastung analysieren Wenn Ihre Aufzeichnung erfolgreich durchgeführt wurde, können Sie diese beim nächsten Aufruf der Transaktion /n/SDF/MON in der Einstiegsmaske auswählen:
Es erscheint eine erste Übersicht zu Ihrer Aufzeichnung der Systemauslastung:
Mit einem Doppelklick oder Klick auf das Brillen-Icon öffnen Sie die Details zu Ihrer Aufzeichnung. In den Details sehen Sie eine chronologische Auflistung von allen Aufzeichnungszeitpunkten innerhalb des definierten Zeitfensters. Auch in dieser Übersicht können Sie bereits relevante Werte zu der Systemauslastung sehen:
244 / 279
rz10.de - die SAP Basis und Security Experten
Zu jedem Aufzeichnungszeitpunkt können Sie weitere Detailinformationen abrufen. Hierfür markieren Sie einen Zeitpunkt und wählen über den Reiter “Goto” oder die Iconleiste weitere Analysen aus. Je nachdem was Sie aufgezeichnet haben, können Sie sich die Liste der Workprozesse, den Speicherverbrauch oder die Prozesse mit der höchsten CPU-Auslastung anzeigen lassen. Mit WP List Aggregation können Sie die Auflistung der Workprozesse sogar nach auswählbaren Kriterien aggregieren.
245 / 279
rz10.de - die SAP Basis und Security Experten
Wenn Sie sich bspw. die Prozesse mit der höchsten CPU-Auslastung anzeigen lassen, können Sie die Systemauslastung rückwirkend sehr detailliert analysieren:
246 / 279
rz10.de - die SAP Basis und Security Experten
Insgesamt handelt es sich bei der Transaktion /n/SDF/MON/ bzw. dem Report SDF/MON/ um ein sehr mächtiges Werkzeug zur Aufzeichnung und Analyse der Systemauslastung. Konnten Sie bereits Erfahrungen mit dem Aufzeichnen der Systemauslastung sammeln? Vielleicht konnten Sie hierdurch sogar endlich eine langwierige Fehlersuche abschließen? Ich freue mich auf Ihre Kommentare!
Verwandte Beiträge Wichtige Transaktionen für Performance Untersuchungen Betriebssyteminformationen aus dem SAP heraus analysieren Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11 Performanceoptimierung der SAP BW Landschaft SAP Basis und SAP Security Berater von RZ10 buchen Trace erstellen mit der Transaktion ST12
247 / 279
rz10.de - die SAP Basis und Security Experten
248 / 279
rz10.de - die SAP Basis und Security Experten
Tabelle WRH$_SQL_BIND_METADATA wächst schnell von Timm Funke - Beitrag vom 16. Juni 2012
Die Tabelle WRH$_SQL_BIND_METADATA wächst schnell und füllt so den Tablespace SYSAUX.
Den Tablespace SYSAUX gibt es seit dem Oracle Release 10g und dient als Speicherort für Oracle Systemkomponenten, wie z.B. den AWR Report. Allerdings kann man sich auch sehr einfach anzeigen lassen, welche Komponenten den meisten Platz belegen: select OCCUPANT_NAME, SCHEMA_NAME, SPACE_USAGE_KBYTES from v$SYSAUX_OCCUPANTS order by space_usage_kbytes; Im aktuellen Fall war der AWR Report der Spitzenreiter. Den gesamten Platzbedarf des Reports kann man mit dem folgenden SQL Kommando herausfinden: select SPACE_USAGE_KBYTES/1024 “AWR Size [MBytes]” from V$SYSAUX_OCCUPANTS where occupant_name = ‘SM/AWR'; Anschließend kann man noch überprüfen, wie viel Platz in dem Tablespace aktuell noch frei ist: select sum(bytes)/(1024 * 1024) “SYSAUX MBytes free” from dba_free_space where tablespace_name = ‘SYSAUX'; Dann kann es unter Umständen sinnvoll sein, die Speicherdauer der AWR Statistiken zu verkürzen: BEGIN DBMS_WORKLOAD_REPOSITORY.modify_baseline_window_size( window_size =>1 ); END; / SELECT moving_window_size
249 / 279
rz10.de - die SAP Basis und Security Experten FROM dba_hist_baseline WHERE baseline_type = ‘MOVING_WINDOW'; BEGIN DBMS_WORKLOAD_REPOSITORY.modify_snapshot_settings( retention => 10080); — Minutes (= 7 Days). END; / SELECT retention FROM dba_hist_wr_control; Hier in diesem Beispiel auf 7 Tage.
Verwandte Beiträge Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS Risiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAP minimieren
250 / 279
rz10.de - die SAP Basis und Security Experten
Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS von Tobias Harmes - Beitrag vom 12. Februar 2014
Egal, ob Sie Ihre Tablespaces manuell, mit BRTOOLS bzw. der Transaktion DB02 aus der SAP GUI heraus, oder mit dem Solution Manager überwachen, irgendwann kann es passieren, dass der Füllstand des Tablespaces Ihren gesetzten Schwellwert überschreitet und Sie gezwungen sind den Tablespace zu erweitern. In diesem Beitrag zeige ich Ihnen, wie Sie mit dem Programm BRTOOLS von Oracle einen Tablespace erweitern können. Dazu rufen Sie zuerst als DB Administrator-User das Kommando brtools auf. Es öffnet sich das Hauptprogramm BRTOOLS mit dem Hauptmenü (s. Abbildung 1). Die Navigation erfolgt über Zeichenkommandos. Unter dem Punkt 2 – Space management befinden sich die Optionen für die Verwaltung der Tablespaces. Um dahin zu navigieren, geben Sie die 2 ein und bestätigen mit Enter.
Abbildung 1: BRTOOLS Hauptmenü Im Space management Menü finden Sie u.a. den Punkt 1 – Extend tablespace. Über diese Option navigieren Sie zur Erstellung einer neuen data-Datei. Alternativ können Sie hier auch über den Punkt 5 – Alter data file bestehende data-Dateien bearbeiten, dazu am Ende mehr. Geben Sie hier die 1 ein und bestätigen Sie mit Enter um mit der Erweiterung fortzufahren (s. Abbildung 2).
251 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 2: Space management Menü Das nächste Zwischenmenü zeigt einige Optionen für die Wahl des Tablespaces. Hier können Sie beispielsweise über die Option 3 – Tablespace name bereits das gewünschte Tablespace angeben (s. Abbildung 3). Die Angabe an dieser Stelle ist allerdings optional, da ohne Angabe im übernächsten Schritt alle Tablespaces aufgelistet werden und Sie die Möglichkeit bekommen den gewünschten Tablespace auszuwählen. Zur Weiternavigation geben Sie c ein und bestätigen mit Enter.
252 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 3: Parameter für die Erweiterung An dieser Stelle wird Ihnen nochmal die Möglichkeit geboten sich die Tablespaces oder data-Dateien anzuschauen. Um mit der Erweiterung fortzufahren geben Sie hier die 1 ein und bestätigen mit Enter (s. Abbildung 4). Bemerkung: Sie können jederzeit auch einen Schritt zurückgehen, indem Sie b (für back) eingeben und mit Enter bestätigen. Den kompletten Vorgang abbrechen können Sie mit dem Kommando s (für stop).
Abbildung 4: Zwischenschritt vor der Erweiterung Jetzt kommen Sie zu dem Punkt, an dem Sie, falls Sie weiter oben keinen Tablespace eingegeben haben, das gewünschte Tablespace wählen können, welches Sie erweitern wollen. Hier bekommen Sie auch einige Details z.B. zum Füllstand und der Größe der Tablespaces angezeigt (s. Abbildung 5). Wählen Sie hier Ihren Tablespace, indem Sie die Zahl vor dem Tablespace eingeben und mit Enter bestätigen.
253 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 5: Auswahl der Tablespaces Jetzt können Sie die Parameter für die neue data-Datei festlegen. BRTOOLS übernimmt einige Parameter aus der letzten erstellten Datei. Der fortlaufende Name wird automatisch bei der Option 3 vorgeschlagen, die vorgeschlagene Dateigröße bei der Option 5 ist die der letzten Datei. Die Größe können Sie ändern, indem Sie die 5 eingeben, mit Enter bestätigen und anschließend die neue Größe eingeben. Die Option 6 bestimmt, ob Autoextend an oder aus ist. Autoextend sorgt dafür, dass data-Dateien automatisch vergrößert werden, falls Platz gebraucht wird und noch Platz zum Vergrößern da ist. Wenn Sie Autoextend nutzen wollen, dann sind auch die Parameter 7 und 8 obligatorisch. Diese legen die maximale Dateigröße fest und auch die Schritte in MB in denen die Datei vergrößert wird (s. Abbildung 6). Wenn Sie alle Parameter eingegeben haben, geben Sie c ein und bestätigen mit Enter um die Datei so zu erstellen.
254 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 6: Parameter der data-Datei Bevor die Datei endgültig erstellt wird, können Sie in diesem Zwischenschritt entscheiden, ob Sie direkt eine weitere Datei erstellen wollen oder nicht. Falls nein, dann fahren Sie mit c oder n fort (s. Abbildung 7). Falls ja, dann geben Sie y ein und Sie kommen wieder zur oberen Ansicht mit den Dateiparametern, diesmal allerdings für die zweite Datei.
Abbildung 7: Abfrage weitere Datei erstellen Wenn keine Probleme aufgetreten sind (z.B. kein Platz mehr auf der Festplatte), dann sehen Sie jetzt die Erfolgsmeldung mit den Details (s. Abbildung 8). Diese Meldung können Sie bestätigen indem Sie c eingeben.
255 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 8: Erfolgsmeldung Jetzt kommen Sie wieder zu dem Menü aus Abbildung 4. Um das Programm zu verlassen, geben Sie hier c ein und bestätigen mit Enter. Nun sehen Sie wieder das Menü aus Abbildung 2, hier kommen Sie mit b zurück zum Hauptmenü. In diesem können Sie das Programm mit der letzten Option 9 – Exit program endgültig verlassen, wenn Sie das auch bei einer weiteren Zwischenabfrage mit c bestätigen müssen. Um noch einmal auf die Option 5 aus Abbildung 2 zurückzukommen: hier können Sie einzelne dataDateien bearbeiten. Die Parameter, die Sie in Abbildung 6 für die data-Datei festgelegt haben, können Sie in diesem Untermenü anpassen und so z.B. auch manuell die Dateigröße anpassen. Wenn Sie z.B. kein Autoextend nutzen und nicht immer die maximale Größe vergeben, können Sie über diese Option mehr Platz auf dem Tablespace schaffen, ohne neue data-Dateien anlegen zu müssen. Jetzt können Sie im BRTOOLS Menü navigieren und mit diesem die Tablespaces erweitern. Ich freue mich auf Ihr Feedback.
Verwandte Beiträge Oracle-/DB Administration und Performance Transaktionen Tabelle WRH$_SQL_BIND_METADATA wächst schnell brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set
256 / 279
rz10.de - die SAP Basis und Security Experten
TP Befehle zur Transportsteuerung von Timm Funke - Beitrag vom 31. Januar 2011
Unter Umständen ist es doch mal notwendig, Transporte mit dem tp Befehl direkt über das Betriebssystem zu importieren. Im folgenden die wichtigsten Befehle
tp command showbuffer SID addtobuffer tranport
description Shows the buffer of system SID Adds transport to the buffer of system SID
SID
delfrombuffer tranport
Deletes transport from the buffer of the SAP system SID
SID
cleanbuffer SID
Removes old entries from SIDs buffer
setstopmark SID
Fügt eine Markierung in den Buffer von System SID ein, bei der ein import oder put aufhört. Wenn keine derartige Marke vorhanden ist, dann fügen die Befehle import all und put temporär eine solche ein (und löschen diese nach erfolgreichem Import). Entfernen der Stop-Marke aus dem Buffer Add the transport transport to buffer of system SID Import all or a single transport into SID. You may add special unconditional modes. displays a list of the objects in transport. The source system must be defined as a dummy system in the TPPARAM file. Lock users others than SAP* and DDIC out of the system, they get the message `put still running’. Be aware, that even logged in users may not start new jobs, but can still work. Unlock the system SID Lock the development environment of system SID , so no abap or
delstopmark SID addtobuffer transport SID
import all/transport SID
getobjlist transport
locksys SID
unlocksys SID lock_eu SID
257 / 279
rz10.de - die SAP Basis und Security Experten
dictionary development can take place. Unlock the development environment of system SID (back to the state before lock_eu) Displays informations about the database
unlock_eu SID
getdbinfo SID
U Modes für tp
u-mode 0
1 3 6 8 9
Description do not remove the transport from the buffer and set unconditional mode 1, so the transport gets imported at the right time again. ignore that the transport as already been imported overwrite originals overwrite objects in uncommited(?) repairs ignore restrictions from the table class ignore that the system is locked for this kind of transport (how can that happen?)
Beispiel: tp addtobuffer SID tp import SID client=111 u1389
Verwandte Beiträge SYNCMARK blockiert Importqueue: wrong syntax in tp call Importeinplanung von Transportaufträgen via STMS Ausplanen eines eingeplanten Importauftrags SAP Transport Status zurücknehmen Transporteur zu SAP Transport ermitteln Betriebssystembefehle via Transaktion ausführen SAP IDM Transport und Release Planung - SAP Identity Management HowTo
258 / 279
rz10.de - die SAP Basis und Security Experten
259 / 279
rz10.de - die SAP Basis und Security Experten
Trace erstellen mit der Transaktion ST12 von Silvia Scholer - Beitrag vom 4. Juli 2014
Mit der Transaktion ST12 können SQL-Statements, ABAP-Code, RFC und Abläufe von Programmen/Jobs aufgezeichnet werden. Der Trace zeigt wie der Zeitbedarf von unterschiedlichen Programmen bis zum individuellen ABAP-Code oder SQL-Statement ist. Diese Information bietet die Möglichkeit um Performanceverbesserungen vorzunehmen. Im Nachfolgenden werden die generellen Schritte zum Ausführen der Transaktion ST12 gezeigt. Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch. Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per EMail [email protected] In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten. Fachbereichsleiter Tobias Harmes
Aufrufen der Transaktion ST12. Danach muss festgelegt werden, was aufgezeichnet werden soll: User/Tasks: Wenn Aktivitäten eines einzelnen Users aufgezeichnet werden sollen. Workprocess: Wenn ein laufender SAP work process aufgezeichnet werden soll. Current mode: Wenn die eigenen Aktivitäten aufgezeichnet werden sollen. Schedule: Wenn Aktivitäten in der Zukunft aufgezeichnet werden sollen und keine Person verfügbar ist, die dies übernehmen kann. Im Beispiel wird ein User/Task Trace durchgeführt. Dazu im Feld “Username” den User eingeben, für den der Trace erstellt werden soll. Ist der User bereit, kann der Button “Start trace” geklickt werden.
260 / 279
rz10.de - die SAP Basis und Security Experten
Folgende Meldung kann ignoriert werden
261 / 279
rz10.de - die SAP Basis und Security Experten
Anschließend kann vom Anwender die Transaktion ausgeführt werden, für die der Trace durchgeführt wird. Ist dies beendet, kann der Button “end traces & collect” geklickt werden. Somit wird die Aufzeichnung beendet.
Es wird eine Übersicht über die gerade erstellten Traces gezeigt. Den oder die gewünschten auswählen und bestätigen.
262 / 279
rz10.de - die SAP Basis und Security Experten
Anschließend muss der Trace ausgewählt werden, der überprüft werden soll. Nach dem Auffrischen und Erscheinen des grünen Hakens kann unter “collected trace analyses” der Tracelog ausgewählt werden.
Es erscheint eine Liste mit den ganzen Tracelogs.
263 / 279
rz10.de - die SAP Basis und Security Experten
Den gewünschten auswählen und bestimmen, was für ein Trace evaluiert werden soll: ABAP trace: zeigt den Zeitbedarf bei den unterschiedlichen Programmebenen. Performance traces: liefert denselben Trace wie die Transaktion ST05. SQL summary: liefert denselben Trace wie die Transaktion ST05, allerdings mit mehr Informationen wie Server, Redundanzen etc. Anschließend ist eine Analyse möglich. Was sind Ihre Erfahrungen mit dem Erstellen von Traces? Ich freue mich auf Ihre Kommentare.
Verwandte Beiträge Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11 Rollen aus einem SAP Berechtigungstrace erstellen Systemauslastung aufzeichnen und analysieren SAP Basis und SAP Security Berater von RZ10 buchen
264 / 279
rz10.de - die SAP Basis und Security Experten
Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11 von Tobias Harmes - Beitrag vom 27. Juli 2012
Von einem Kollegen habe ich einen Tipp auf den Hinweis 1045019 bekommen. Dort wird ein WebDiagnose-Tool zum Sammeln von Trace-Dateien angeboten. Nicht immer hat man einen Solution Manager Diagnostics mit Trace Analysis im Zugriff. Da das manuelle Tracen im AS Java Umfeld nicht wirklich Spaß macht (und teilweise mangels Zugriff auch nicht gestattet ist), habe ich mir das Tool mal auf einem Solution Manager 7.1 angesehen. Eines vorweg: man benötigt einen Flash-fähigen Browser. Vor der Nutzung muss man das .sda-File aus dem Hinweis installieren. Bis 7.02 kann man das über den SDM deployen, für 7.10 und 7.11 geht man über die telnet shell. Für die Nutzung des Trace Collectors ist im Hinweis sogar ein Mini-Flash-Tutorial angehängt. Nach dem Deploy geht man auf http://:/diagtool/tc Nun kann man für ausgewählte Server Nodes die gewünschten Trace-Ablageorte auswählen, die gesammelt werden sollen. Danach genügt ein Klick auf den Start-Button und die Sammlung wird gestartet.
Hier habe ich während des Traces einen Login mit fehlerhaften Zugangsdaten durchgeführt. Nachdem man die Sammlung beendet hat, wird das Endergebnis und die Anzahl der ermittelten Fehler angezeigt. Mit einem Klick auf die Fehlerspalte gelangt man zu den Details.
265 / 279
rz10.de - die SAP Basis und Security Experten
Und tatsächlich erhält man eine relativ gut lesbaren Trace der freundlicherweise auch gleich die Fehler einfärbt.
Weitere Links: Hinweis 1045019 – Web-Diagnose-Tool zum Sammeln von Trace-Dateien Hinweis 1332726 – Troubleshooting Wizard
Verwandte Beiträge Rollen aus einem SAP Berechtigungstrace erstellen Trace erstellen mit der Transaktion ST12 Systemauslastung aufzeichnen und analysieren
266 / 279
rz10.de - die SAP Basis und Security Experten
267 / 279
rz10.de - die SAP Basis und Security Experten
Transportauftrag aus Importqueue löschen von Silvia Scholer - Beitrag vom 20. Februar 2014
Soll ein Transport nicht importiert werden, so kann der Import durch Löschen aus der Importqueue über die Transaktion STMS verhindert werden. Notwendige Informationen hierbei sind der Systemname und die Transportnummer.
Zum Löschen müssen Sie sich im System auf dem Mandanten 000, da die Importqueue mandantenunabhängig ist, anmelden und die Transaktion STMS aufrufen. Durch klicken auf den roten LKW wechseln Sie in die Importübersicht.
Von der Importübersicht aus gelangen Sie durch Doppelklick auf die SID in die Importqueue des gewünschten Systems.
268 / 279
rz10.de - die SAP Basis und Security Experten
Im Beispiel wurde der 4. Eintrag gewählt. Nach dem Doppelklick wird die Importqueue angezeigt. Hier einmal Refresh (F5) wählen, damit alle Einträge angezeigt werden. Anschließend den zu löschenden Transport einmal anklicken, sodass der Cursor in der Zeile des Transportes steht.
Durch klicken der Mülltonne
erscheint eine Nachfrage, ob der Transportauftrag gelöscht werden
269 / 279
rz10.de - die SAP Basis und Security Experten soll. Diese Nachfrage bestätigen. Sollen mehrere Transporte gelöscht werden nun den nächsten Transport markieren, der gelöscht werden soll und wieder die Mülltonne klicken.
Ich freue mich auf Ihr Feedback.
Verwandte Beiträge SAP IDM Transport und Release Planung - SAP Identity Management HowTo SAP Transport Status zurücknehmen Transporteur zu SAP Transport ermitteln Importeinplanung von Transportaufträgen via STMS Ausplanen eines eingeplanten Importauftrags Spool-Aufträge manuell löschen SYNCMARK blockiert Importqueue: wrong syntax in tp call
270 / 279
rz10.de - die SAP Basis und Security Experten
Transporteur zu SAP Transport ermitteln von Dominik Busse - Beitrag vom 10. November 2014
Sie wollen herausfinden, wer einen Transport in ein SAP System durchgeführt hat. Über diesen Umweg erfahren Sie den Transporteur zu einem SAP Transport.
Es gibt allerlei Transaktionen, über die Sie schnell und einfach Informationen wie zum Beispiel Inhalt, Inhaber oder Zielsystem eines Transportes erhalten. Immer wieder gibt es jedoch Situationen, in denen diese einfach zu erreichenden Informationen nicht ausreichen. Wenn beispielsweise nach dem Import eines Transportes unerwartete Fehler auftreten, kann es durchaus wichtig sein, wer den Import durchgeführt hat. Über die Transaktion STMS erhalten Sie Uhrzeit, Transportinhaber und Status eines Transports – den Transporteur zu einem SAP Transport erhalten Sie jedoch nur über Umwege. Denn der Inhaber eines Transportes muss nicht zwingend auch sein Transporteur sein.
Transporteur zu einem SAP Transport ermitteln Die Grundlage zu dieser Information findet sich in der Funktionalität eines SAP Systems an sich – alles ist in Tabellen enthalten und kann über Umwege nachvollzogen werden. Um einen Transporteur zu einem SAP Transport zu ermitteln, ist die Tabelle TPLOG interessant. Sie können – entsprechende Berechtigungen vorausgesetzt – mit der Transaktion SE16 darauf zu greifen. Wer transportiert hat, finden Sie heraus, indem Sie die Transportnummer umrahmt von * (*TRANSPORTNUMMER*) im Feld CMDSTRING eintragen:
271 / 279
rz10.de - die SAP Basis und Security Experten
Als Ergebnis erhalten Sie die Zeilen der Tabelle TPLOG, die den entsprechenden Transport betreffen. In der Spalte USERNAME sehen Sie den Usernamen. In der Spalte CMDSTRING steht einerseits die Transportnummer andererseits der jeweilige Transportschritt, also bspw. der IMPORT. Der Username, den Sie in der Zeile mit IMPORT und Transportnummer finden, ist der Transporteur zu dem Transport:
Haben Sie bereits Situationen erlebt, in denen Sie gerne gewusst hätten, wer einen bestimmten Transport transportiert hat? Ich freue mich über Ihre Erfahrungen aber auch Fragen in den Kommentaren gleich unterhalb dieses Beitrags.
272 / 279
rz10.de - die SAP Basis und Security Experten
Verwandte Beiträge TP Befehle zur Transportsteuerung SAP Basis und SAP Security Berater von RZ10 buchen Transportauftrag aus Importqueue löschen Ausplanen eines eingeplanten Importauftrags SAP Transport Status zurücknehmen Importeinplanung von Transportaufträgen via STMS
273 / 279
rz10.de - die SAP Basis und Security Experten
Überwachungspause im Solution Manager für ein System einplanen von Tobias Harmes - Beitrag vom 7. Februar 2014
Wenn Sie die Verfügbarkeit Ihrer Systeme mit dem Solution Manager über das CCMS überwachen, ist es sinnvoll für geplante Downtimes (Offline-Backup, EHP/SP Upgrade, Refresh etc.) eine entsprechende Überwachungspause zu pflegen. Damit wird verhindert, dass die Downtime bei der CCMS Verfügbarkeitsprüfung einen Alarm auslöst. Dazu rufen Sie zunächst die Transaktion RZ21 – CCMS Customizing Monitorarchitektur auf. Die Einstellungen zur Verfügbarkeitsüberwachung finden Sie im Menübaum Techn. Infrastruktur – Verfügbarkeitsüberwachung – CCMSPING-Verfügbarkeitsüberw. konfigur. (s. Abbildung 1)
Abbildung 1: RZ21 – CCMSPING-Verfügbarkeitsüberwachung konfigurieren Jetzt bekommen Sie eine Übersicht über Ihre Systeme und auch, welche davon überwacht bzw. nicht überwacht werden. Hier können Sie das System markieren, bei dem Sie eine Überwachungspause einplanen wollen. Wichtig ist hier, dass die komplette Zeile markiert sein muss und nicht nur eine der Spalten. Hierzu auf das Ordnersymbol klicken. Die Option Überwachungspause anlegen finden Sie bei dem Button
im Untermenü (s. Abbildung 2).
274 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 2: Überwachungspause anlegen In dem sich nun öffnenden Dialog können Sie die Überwachungspausen für das System pflegen. Beim Erstellen einer neuen Pause können Sie zwischen einer täglichen, wöchentlichen und einmaligen Pause wählen und müssen auch die entsprechenden Start- bzw. Endparameter für die Pause festlegen. Speichern können Sie die Pause mit dem entsprechenden Button (s. Abbildung 3). Im unteren Teil des Dialogs können Sie bereits eingeplante Überwachungspausen sehen und ggfs. über das Papierkorb-Symbol wieder löschen.
275 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 3: Überwachungspausen pflegen Je nach Versionsstand des Solution Managers, kann der Dialog auch etwas anders aufgebaut sein und mehr Optionen beinhalten (s. Abbildung 4). Das Prinzip für die Pflege der Überwachungspausen bleibt aber dasselbe.
276 / 279
rz10.de - die SAP Basis und Security Experten
Abbildung 4: Erweiterte Ansicht zur Pflege von Überwachungspausen Ich freue mich auf Ihr Feedback.
Verwandte Beiträge TREX Monitoring mit Solution Manager Diagnostics Verfügbarkeiten nachweisen mit dem SAP Solution Manager Fehler bei Rollenaktualisierung der verwalteten Systeme im Solution Manager CCMS-Alerts per E-Mail erhalten
277 / 279
rz10.de - die SAP Basis und Security Experten
278 / 279
rz10.de - die SAP Basis und Security Experten
279 / 279 Powered by TCPDF (www.tcpdf.org)