rz10.de - die SAP Basis und Security Experten

RZ10-eBooks: SAP Basis

in der Version vom 5.03.2015

1 / 279

rz10.de - die SAP Basis und Security Experten

Inhaltsverzeichnis

ABAP-Webservices mit dem SOA-Manager anlegen ....................................... 4Abfrage von mehreren SAP Tabellen über den Quickviewer ............................... 13Abgebrochene Verbuchungssätze löschen - SM13 ....................................... 17Anmeldesprache für SAP Dialogbenutzer festlegen ...................................... 22ANST - Werkzeug für die automatisierte Hinweissuche ................................... 26Ausplanen eines eingeplanten Importauftrags .......................................... 33Authentifizierung und Verschlüsselung beim E-Mail-Versand .............................. 37Automatische Prüfung für SAP Sicherheitshinweise ...................................... 39Benutzerstammsätze exportieren und importieren ...................................... 43Betriebssystembefehle via Transaktion ausführen ....................................... 48Betriebssyteminformationen aus dem SAP heraus analysieren ............................ 57brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set ................ 60CCMS-Alerts per E-Mail erhalten ..................................................... 63Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt ................. 71Download von SAP Sprachpaketen ................................................... 73Dumps nach Abbruch der SPAM ...................................................... 75Fehler "unable to save the local file information" im SAP Download Manager ................. 77Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO ............................... 79Fehler beim BI_CONT einspielen: Quellsystem existiert nicht .............................. 81Fehler beim Registrieren des saprouter Dienstes ........................................ 83Fehler im Upgrade auf EHP1 ........................................................ 85Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible ................... 87Fehleranalyse bei Startproblemen der J2EE ............................................ 92Gefährlicher Profilparameter auth/object_disabling_active ................................ 93Google Chrome Extension - SAP Any Search ............................................ 94Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen ....................... 97HowTo Konfiguration von Adobe Document Services (ADS - SAP) ......................... 101IDoc Status manuell ändern ........................................................ 103Importeinplanung von Transportaufträgen via STMS .................................... 107Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario ................... 110J-Co Destination kann nicht gestartet werden ......................................... 114JSPM Start: Error while detecting start profile .......................................... 120Kennworthistorie zurücksetzen ..................................................... 122Laufzeitfehler DDIC_TYPELENG_INCONSISTENT ........................................ 124Mandantenkopie ................................................................. 126Massensperren von Benutzern via SU10 .............................................. 129MaxDB 7.8 Passwort-Reset ......................................................... 130Netzwerkverbindungen aus dem SAP testen .......................................... 133OK – Codes für SAP ............................................................... 136ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account .............................. 139Oracle-/DB Administration und Performance Transaktionen .............................. 141Performance Analysen im BW – ein erster Ansatz ...................................... 143PI-Komponenten fehlen im SLD ..................................................... 147Pseudo Sprachinstallation im SAP BW ................................................ 150SAP Archiv - SAR-Datei mit SAPCAR entpacken ........................................ 151SAP Benutzertypen richtig verwenden ............................................... 154SAP Emailversand einrichten und testen .............................................. 156SAP Kernel Update durchführen ..................................................... 161SAP Management Console lässt sich nicht mehr starten – Java Problem .................... 163SAP Oracle Listener startet nicht .................................................... 168SAP Portal Anmelde-Popup beim Öffnen von MS Office-Dateien ........................... 170SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed ............. 173SAP Speichermodell in Windows Umgebungen ......................................... 180SAP ST03N Änderung der Aufbewahrungszeit von genutzten Transaktionen ................ 183

2 / 279

rz10.de - die SAP Basis und Security Experten

SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager ................... 186SAP Transport Status zurücknehmen ................................................ 188SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI ...................... 191SAP-Stern freischalten - Notfallbenutzer SAP* in SAP NetWeaver aktivieren ................. 194Saprouter als Service mit SNC ...................................................... 196SDCCN manuell konfigurieren ...................................................... 198Single Sign On für SAP GUI ......................................................... 202Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard ....................... 205Spool-Aufträge manuell löschen .................................................... 208Sprachpakte in SAP aktivieren - select one of the installed languages ...................... 212SSL Webservices im SAP nutzen .................................................... 218SSO Troubleshooting Checklist ..................................................... 223SUM Fehler – sapcontrol service certificate is not trusted ................................ 227SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“ ........ 230SUM - validation of deployment queue completed with error ............................. 234SYNCMARK blockiert Importqueue: wrong syntax in tp call ............................... 237Systemauslastung aufzeichnen und analysieren ....................................... 241Tabelle WRH$_SQL_BIND_METADATA wächst schnell ................................... 249Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS ....................... 251TP Befehle zur Transportsteuerung .................................................. 257Trace erstellen mit der Transaktion ST12 ............................................. 260Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11 ............................. 265Transportauftrag aus Importqueue löschen ........................................... 268Transporteur zu SAP Transport ermitteln ............................................. 271Überwachungspause im Solution Manager für ein System einplanen ...................... 274

3 / 279

rz10.de - die SAP Basis und Security Experten

ABAP-Webservices mit dem SOA-Manager anlegenvon Tobias Harmes - Beitrag vom 20. Januar 2011

Gerade im SAP-Umfeld ist es interessant, im produktiven System verfügbare Informationen auchanderen Nicht-SAP-Systemen zugänglich machen zu können. Webservices sind ein effektives Mittelum Systeme ohne große Umwege direkt miteinander kommunizieren zu lassen. Mit SAP NetWeaver7.0 SP14 steht nun auch die Transaktion SOAMANAGER zur Verfügung, die den Umgang mitWebservices deutlich einfacher macht. Dieses Howto beschreibt anhand eines einfachen Beispielsdie Vorgehensweise, um mit ABAP und dem SOAMANAGER einen SAP Webservice zur Verfügung zustellen.

Wir unterstützen Sie bei der Konfiguration und Absicherung Ihrer Schnittstellen.

Ob Sie Webservices absichern wollen oder einfach Unterstützung bei der initialenKonfiguration haben möchten, wir bieten Ihnen unsere kompetenten Berater an: SAP Basisund SAP Security Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Überblick

1. Voraussetzungen2. Einen Funktionsbaustein und Webservice im ABAP anlegen3. Den Webservice mit soapUI nutzen

Voraussetzungen:

Eine funktionierende Transaktion SOAMANAGER (ab SAP NetWeaver 7.0 SP14)Entwicklerzugriff und ABAP Kenntnisse , Transaktion SE80Einen technischen User für den eingeschränkten Zugriff (Benutzertyp Kommunikation)Einen Konsumenten, das heißt einen Webservice-Nutzer (zum Testen ist das Webservices-Test-Tool soapUI gut geeignet)

Einen Funktionsbaustein und Webservice im ABAP anlegen

4 / 279

rz10.de - die SAP Basis und Security Experten

Reihenfolge für das Anlegen eines Webservice im Überblick:

1. RFC-fähigen Funktionsbaustein anlegen2. Input/Export-Parameter definieren3. Das Programm4. Webservice anlegen5. Service im SOAMANAGER browsen und WSDL-Link speichern

RFC-fähigen Funktionsbaustein anlegen

Unser Beispiel wird ein Webservice sein, dem zwei Zahlen übergeben werden und derdaraufhin die Summe der beiden Zahlen zurück gibt.Dafür in der Transaktion SE80 einen Funktionsbaustein anlegen und dabei in denEigenschaften “Remote fähiger Baustein” anwählen.

Input/Export-Parameter definieren

Die Parameter definieren den Webservice, die Verwendung von Tabellen und Changing sindhier nicht vorgesehen.

Die Import-Parameter bestimmen die Werte, die an den Webservice übergeben werden. Indem Bespiel die beiden Zahlen, die von unserem Programm addiert werden sollen. DieParameter sollten Optional sein, damit man später das WSDL-Dokument (siehe unten)abrufen kann und als Wert übergeben werden.

5 / 279

rz10.de - die SAP Basis und Security Experten

Der Export-Parameter definiert die Rückgabe.

Diese Parameter müssen unbedingt vorher festgelegt werden und sollten sich später auchnicht mehr ändern, da ansonsten sich die ganze Webservice-Definition ändert und somit fürKonsumenten nicht mehr nutzbar ist.

Das Programm

Das Programm sichern und aktivieren.

Webservice anlegen

Über einen Rechts-klick auf den Funktionsbaustein kann man einen Web Service Wizardstarten.

6 / 279

rz10.de - die SAP Basis und Security Experten

7 / 279

rz10.de - die SAP Basis und Security Experten

8 / 279

rz10.de - die SAP Basis und Security Experten

Der Webservice ZTH_WS_TESTING ist damit definiert und einsatzbereit.

Service im SOAMANAGER browsen und WSDL-Link speichern

Bevor der Webservice durch andere Systeme genutzt werden kann, benötigen diese eineBeschreibung, wie und mit welchem Parametern der Webservice funktioniert. Diese Definitionsteckt in einem WSDL-Dokument und wird zum Konsumieren des Webservices im ABAP undanderen externen System benötigt. Die Transaktion SOAMANAGER öffnet einen Browser fürden Zugriff auf das SOA-Management und bietet die Möglichkeit eine Download-URL für dasWSDL-Dokument zu ermitteln.

9 / 279

rz10.de - die SAP Basis und Security Experten

Zunächst muss der neue Service selektiert werden.

Der markierte Link öffnet das WSDL-Dokument. Hinweis: Das Browserfenster wird unterUmständen im Hintergrund geöffnet.

10 / 279

rz10.de - die SAP Basis und Security Experten

Die URL aus der Adressleiste speichern.

Den Webservice mit soapUI nutzen

Das Webservice Testing Tool soapUI ist als OpenSource-Tool unter http://www.soapui.org/ verfügbarund bietet die Möglichkeit schnell einfacher Webservice Funktionstests durchzuführen. Ideal also, umunseren eben angelegten Webservice zu testen.

“New soapUI Project” auswählen und in dem Dialog die vorher gespeicherten WSDL-URL einfügen.

Technischen User angeben.

Es sollen die Zahlen 200 und 400 addiert werden. Wichtig ist etwaige Kommentare wie z.B.<!–OPTIONAL–> zu entfernen. Diese können beim Aufruf des Webservices Probleme bereiten.

11 / 279

rz10.de - die SAP Basis und Security Experten

Über den Button “Auth” am unteren Rand müssen die Benutzerdaten für den Aufruf hinterlegtwerden.

Auf “Submit Request” links oben gehen. Die Antwort des Webservices (die Summe der beidenZahlen) erscheint danach auf der rechten Seite. Damit ist der Webservice erfolgreich getestet!

Verwandte Beiträge

SSL Webservices im SAP nutzenSAP Basis und SAP Security Berater von RZ10 buchenSAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed

12 / 279

rz10.de - die SAP Basis und Security Experten

Abfrage von mehreren SAP Tabellen über den Quickviewervon Tobias Harmes - Beitrag vom 19. April 2012

Letzte Woche habe ich in dem Artikel Grafische Visualisierung von SAP Tabellen undTabellenbeziehungen das Thema Abfrage von Tabelle mit dem QuickViewer erwähnt. Hier eine kurzeAnleitung wie man eine entsprechende Abfrage bauen kann.

Hat man die entsprechenden Beziehungen der Tabellen ermittelt, kann man dann relativ bequemJoin-Queries über die Transaktion SQVI machen. Das Beispiel soll die durch Rollen zugewiesenenOrganisationsebenen eines Benutzers anzeigen. Diese Daten stehen in den Tabellen AGR_USERS undAGR_1252.

Title für QuickView anlegen und als Datenquelle “Table join” auswählen

Alle relevanten Tabellen einfügen.

13 / 279

rz10.de - die SAP Basis und Security Experten

Bereits erkannte Fremdschlüsselbeziehungen werden automatisch dargestellt.

Jetzt kann man die Felder der Ergebnistabelle auswählen.

14 / 279

rz10.de - die SAP Basis und Security Experten

Danach wählt man aus, welche Selektionsfelder für die Eingrenzung der Ergebnisse verfügbar seinsollen.

Mit Ausführen kann man für den gewählten Benutzer…

… alle Rollen und Organisationsebenen ausgeben.

Verwandte Beiträge

SAP Tabellen für Transaktionen, Berechtigungsobjekte und BerechtigungsfelderGrafische Visualisierung von SAP Tabellen und Tabellenbeziehungen

15 / 279

rz10.de - die SAP Basis und Security Experten

16 / 279

rz10.de - die SAP Basis und Security Experten

Abgebrochene Verbuchungssätze löschen - SM13von Tobias Harmes - Beitrag vom 11. Februar 2014

Oft genug kommt es vor, dass ein Verbuchungsauftrag fehlschlägt. Verbuchungen werden in derRegel gemonitort und Abbrüche werfen entsprechend eine Alarmmeldung. Die Ursachenforschungfür den Abbruch obliegt normalerweise der Fachabteilung. Diese bestimmt im Endeffekt auch, ob derVerbuchungsauftrag nachverbucht werden soll oder ob der Verbuchungssatz gelöscht werden kann.

Den letzten Fall möchte ich Ihnen in diesem Beitrag näher bringen und Ihnen zeigen, wie Sie denrichtigen Verbuchungssatz (engl. update record) anhand des Verbuchungsschlüssels finden undlöschen können.

Rufen Sie dazu zuerst die Transaktion SM13 – Verbuchung auf. Im Einstiegsfenster sehen Sie eineReihe von Selektionskriterien für die Verbuchungssätze, die Sie sich anzeigen lassen möchten. Umdie Anzahl der gefundenen Verbuchungsaufträge möglichst gering und damit übersichtlich zu halten,sollten Sie alle Ihnen bekannten Informationen nutzen um die Auswahl einzuschränken.

Da wir nach abgebrochenen Verbuchungssätzen suchen, sollten Sie aber mindestens bei StatusAbgebrochen auswählen und das Datum anpassen. Standardmäßig steht dort das aktuelle Datumdrin (s. Abbildung 1). Die Selektion starten Sie mit dem Ausführen-Button bzw. mit der Taste F8.

17 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 1: Einstiegsbild Verbuchungsaufträge

Als nächstes sehen Sie die gefundenen Verbuchungssätze, die zu Ihren Kriterien passen. An dieserStelle ist oft noch nicht erkennbar, welcher Verbuchungssatz gelöscht werden soll. Jeder dieserVerbuchungssätze hat einen eigenen Verbuchungsschlüssel. Sollen also nicht alle sondern nurspezifische Verbuchungssätze gelöscht werden, dann muss auch der Verbuchungsschlüssel oderauch mehrere bekannt sein.

Sollte an dieser Stelle bereits bekannt sein, welcher Verbuchungssatz gemeint ist, dann können Siediesen mit dem Selektionskästchen markieren (die komplette Zeile, eine Spalte reicht nicht) und aufdas Papierkorb-Symbol klicken (oder Tastenkürzel Umsch+F2), um den Verbuchungssatz zulöschen (s. Abbildung 2).

Wenn Sie die Ihnen bekannten Verbuchungsschlüssel mit den Schlüsseln der Verbuchungssätzevergleichen wollen, dann können Sie sich den Verbuchungsschlüssel anzeigen lassen, indem Sie ineine der Spalten des Verbuchungssatzes doppelt klicken bzw. über die Buttons Verbuchungskopf

(Strg+Umsch+F6) oder Verbuchungsmodule (F2) zu den entsprechenden Ansichtennavigieren.

18 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Gefundene Verbuchungssätze

Im Verbuchungskopf befindet sich der Verbuchungsschlüssel in der obersten Zeile (s. Abbildung 3).

19 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: Verbuchungskopf

In der Ansicht der Verbuchungsmodule sehen Sie den Verbuchungsschlüssel über den einzelnenModulen (s. Abbildung 4). In dieser Ansicht haben Sie ebenfalls die Möglichkeit den Verbuchungssatzzu löschen. Klicken Sie hierfür auf den Papierkorb oder benutzen Sie das Tastenkürzel Umsch+F2.

Abbildung 4: Verbuchungsmodule

20 / 279

rz10.de - die SAP Basis und Security Experten

Egal, ob Sie den Verbuchungssatz aus der Übersicht oder aus der Modulansicht löschen wollen, injedem Fall kommt eine entsprechende Abfrage, die Sie bestätigen müssen, um mit dem Löschenfortzufahren.

Abbildung 5: Löschen bestätigen

Damit haben Sie den Verbuchungssatz gelöscht und er taucht nicht mehr in der Auflistung auf. Aufdiese Art können Sie jetzt auch weitere Verbuchungssätze löschen. Seien Sie aber aufmerksam beimLöschen und vergleichen Sie die Verbuchungsschlüssel genau, weil sie sich oft ähneln. Einmalgelöschte Verbuchungssätze können nicht mehr hergestellt werden.

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

Massenlöschen von RollenSAP Basis und SAP Security Berater von RZ10 buchen

21 / 279

rz10.de - die SAP Basis und Security Experten

Anmeldesprache für SAP Dialogbenutzer festlegenvon Tobias Harmes - Beitrag vom 27. April 2012

Es gibt zwei Möglichkeiten die Anmeldesprache in einem SAP System zu setzen.

Systemweite Anmeldesprache

Diese wird schon sichtbar, wenn man im Anmeldebildschirm eines Applikationsservers steht und giltauch als Dialogsprache für alle Anwender.

Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Die dazugehörigen Profil-Parameter lauten:

22 / 279

rz10.de - die SAP Basis und Security Experten

Parametername Beispielwert Bedeutungzcsa/system_language E Logon-Sprache und Standard-

Sprache für alle Dialoguserzcsa/second_language D Wenn Textelemente in der

gewählten Sprache nichtverfügbar sind, dann kann manhier die “Fallback”-Sprachedefinieren. In der Regel ist dieseE oder D für Englisch oderDeutsch

zcsa/installed_languages DE Anmeldesprachen einesApplikation-Servers

Den Wert des Parameters dazu kann man am Besten über das Programm RSPARAM in der SA38ermitteln, dabei auch den Haken “unsubstituierte anzeigen” anwählen. Änderungen erfordern denNeustart des Applikationsservers.

Benutzerdefinierte Anmeldesprache

Diese kann man im Benutzerstammsatz ändern über die Transaktion SU01 im Reiter Festwerte.

Möchte man die Anmeldesprache für mehrere Benutzer ändern kann man die SU10(Massenänderung) verwenden. Die notwendige Userliste muss man dann allerdings ggf. über dieTabelle USR01 (Feld LANGU) erzeugen, denn in der SU10 kann man leider nicht nach derzeitiggesetzter Anmeldesprache filtern.

Installierte Sprachen

23 / 279

rz10.de - die SAP Basis und Security Experten

Es können nur Sprachen ausgewählt werden, die auch installiert sind, siehe dazu Transaktion SMLT.Deutsch und Englisch sind aber eigentlich immer drin ;-).

Weitere Links:

System language change http://scn.sap.com/thread/851250

Verwandte Beiträge

Download von SAP SprachpaketenSAP Benutzertypen richtig verwendenSprachpakte in SAP aktivieren - select one of the installed languagesSAP Basis und SAP Security Berater von RZ10 buchen

24 / 279

rz10.de - die SAP Basis und Security Experten

25 / 279

rz10.de - die SAP Basis und Security Experten

ANST - Werkzeug für die automatisierte Hinweissuchevon Armin Kern - Beitrag vom 24. Februar 2014

Überblick: Theorie

In diesem Blogbeitrag stelle ich Ihnen das Automated Note Search Tool, kurz ANST vor. Neben einemRundumüberblick über die Funktionalität des Werkzeugs dient dieser Beitrag außerdem alsSammlung der bisher zum ANST erschienenen Hinweise. Am Ende finden Sie einen Link auf eininteraktives Tutorial.

Bei ANST handelt es sich um ein Werkzeug, das basierend auf dem Prozess-Trace Hinweise mitKorrekturanleitungen sucht. Wenn Sie in ihrem System auf ein Problem stoßen, reproduzieren Siedieses mit Hilfe der Transaktion. Das Ergebnis ist eine Liste aller relevanten SAP Hinweise.

Ein Großer Vorteil gegenüber der herkömmlichen Hinweissuche besteht darin, dass nur für dasaktuelle Release und Support-Package-Level relevante Hinweise in der Ergebnisliste enthalten sind.Das bedeutet, dass jeder Hinweis ein Problem in ihrem System löst. Sie müssen nur nochherausfinden, welcher Hinweis genau ihr vorliegendes Problem löst.

Welche Objekte bei der Suche berücksichtig werden, entscheiden Sie anhand von Einstellungeninnerhalb der Transaktion.

Das Werkzeug erlaubt Ihnen außerdem, eigenen Quelltext, zum Beispiel in Form von BAdIs, User-Exits und BTEs, in die Suche mit einzubeziehen.

Voraussetzungen

Ob Sie das Werkzeug verwenden können, finden Sie am einfachsten heraus, indem Sie mittelsTransaktionscode ANST_SEARCH_TOOL versuchen, die Transaktion auszuführen. Welches SupportPackage Sie für die SAP-Basis-Komponente benötigen, um das Werkzeug nutzen zu können,entnehmen Sie bitte folgender Tabelle.

Softwarekomponente Release Support PackageSAP_BASIS 700 SAPKB70028SAP_BASIS 701 SAPKB70113SAP_BASIS 702 SAPKB70213SAP_BASIS 731 SAPKB73106

Übrigens: Ab den Support Package Leveln, die Sie der nachfolgenden Tabelle entnehmen können,wurde der Transaktionscode von ANST_SEARCH_TOOL auf ANST verkürzt.

26 / 279

rz10.de - die SAP Basis und Security Experten

Softwarekomponente Release Support PackageSAP_BASIS 700 SAPKB70030SAP_BASIS 701 SAPKB70115SAP_BASIS 702 SAPKB70215SAP_BASIS 740 SAPKB74005SAP_BASIS 731 SAPKB73111

Überblick: Praxis

Schauen wir uns die Transaktion einmal an. Die Oberfläche ist unterteil in drei Bereiche. DieMenüleiste, Ausführungsdaten und Trace-Parameter. Anhand der Nummerierung in der Abbildungwerde ich Ihnen die einzelnen Elemente kurz vorstellen.

1. Ausführen der unter Ausführungsdaten angegebenen Aktion.

2. Programmdokumentation: Ausführliche Beschreibung der Grundfunktionalität.

3. Gesicherte Traces können nachträglich ausgewertet werden. So kann beispielsweise einAnwender, der auf einen Fehler stößt, diesen mittels ANST replizieren. Der für den Supportzuständige Mitarbeiter kann den Trace unter Angabe des Benutzernamens und/oder desDatums den Trace öffnen, ohne den Fehler selbst replizieren zu müssen. Meiner Meinungnach ein zentraler Vorteil des Tools!

4. Das Objekt-Customizing erlaubt es, Objekte in die Suche ein- oder aus der Sucheauszuschließen.

5. Unter Einstellungen finden Sie eine weitere Customizing-Tabelle, in der unter anderemeingestellt werden kann, ab welchem Datum Hinweise berücksichtigt werden und welcheKundenerweiterungen in die Suche einbezogen werden. Als RFC-Destination muss SAPSNOTEeingetragen sein.

6. Hier können Sie aufgezeichnete Traces löschen. Ein aufgeräumtes System erleichtert die

Arbeit

27 / 279

rz10.de - die SAP Basis und Security Experten

7. Wählen Sie die gewünschte Aktion aus und tragen Sie den Transaktions-, Programm- oderAnwendungsnamen ein.

8. Die Beschreibung und das Sichern der Trace sind optional. Sollten Sie die Trace sichern,empfiehlt sich eine kurze Beschreibung um die Trace wieder zu finden.

Wir führen nun die oben dargestellte Aktion aus. Im Hausbankenstamm möchten wir eine IBANändern. Um die Eingabe zu vereinfachen, schalten wir die Eingabeart um.

Nachdem wir die neue IBAN gepflegt haben, möchten wir die Eingabeart erneut umschalten, um dieIBAN einfacher überprüfen zu können.

28 / 279

rz10.de - die SAP Basis und Security Experten

Beim Wechsel der Ansicht wird die Änderung jedoch verworfen, die alte IBAN wird wieder angezeigt.Zwar erhalten wir hier keine explizite Fehlermeldung, dennoch hilft uns ANST, falls ein Hinweis dazuexistiert, diesen zu finden. Wir schließen das Popup und springen zurück, bis wir wieder im ANSTsind. Das Werkzeug listet uns nun, aufgetrennt nach Anwendungskomponente, alle durchlaufenenObjekte auf, die im Objekt-Customizing selektiert sind.

Wir können alle Anwendungskomponenten in die Hinweissuche einbeziehen oder bis aufObjektebene selektieren, was in der Suche berücksichtigt werden soll. Die Zahl in Klammern sagtaus, wie viele Objekte der Komponente durchlaufen wurden.

Die Ergebnisliste der Hinweissuche: Mit Klick auf die Hinweisnummer öffnet sich der Hinweis imBrowser (S-User erforderlich). Ein Doppelklick auf das Ausführen-Icon in der ersten Spalte erlaubt dasdirekte Herunterladen des Hinweises (Absprung in die Transaktion SNOTE).

29 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Funktionen

Neben der Hinweissuche können für jeden Trace auch der Quelltext des Kunden durchsucht sowiebetroffene Customizing-Tabellen angezeigt werden. Beachten Sie, dass im Kundenquelltext nur dieObjekte berücksichtig werden, die unter Einstellungen markiert sind.

Die Customizing-Tabellen sind nach Anwendungskomponenten aufgegliedert; durch einenDoppelklick springen Sie direkt zur entsprechenden Tabelle.

Relevante Hinweise

Die Hinweissuche zu ANST_SEARCH_TOOL liefert derzeit 14 Treffer

Nr. Kurztext Freigegeben am1972513 ANST: Include-Objekte fehlen im

Trace31.01.2014

1964231 ANST: FM ANST_TESTING_AGEN_CHANGE_PARAM: FehlerhafteNachrichtenbehandlung

27.01.2014

1944826 ANST: Keine Erkennungbenutzerspezifischer User-Exits

17.01.2014

1818192 FAQ: Werkzeug für dieautomatisierte Hinweissuche (inkl. Guide als PDF)

08.01.2014

1945396 Tips for using the AdvancedNote Search Tool (ANST) in SRM

25.11.2013

1918694 ANST: Inkorrekte Fehlermeldungbei fehlender Berechtigung

11.11.2013

1916483 Auslief.klasse der Tab.ANST_CUST_OBJ,ANST_SETTINGS ändern

17.10.2013

30 / 279

rz10.de - die SAP Basis und Security Experten

1909768 ANST001 Fatal Error.Customizing table is not filled

26.09.2013

1915529 ANST: neuer Transaktionscode 25.09.2013

1889975 ANST: Filtern d. Suchhilfe inCRM Webclient u. CRM BSPFrame

12.08.2013

1885730 ANST: Trace des CRM WebClientabgebrochen

18.07.2013

1862303 ANST: CRM WebClient does notwork in French

11.07.2013

1786566 Dynpros imKundennamensraum entfernen

27.05.2013

1778716 Erweiterte Anwendung zurHinweissuche

18.02.2013

Interaktives Tutorial

Falls Sie über einen S-User verfügen, finden Sie hier ein interaktives, englischsprachiges Tutorial –

inklusive Quiz am Ende. Viel Spaß beim Entdecken

Verwandte Beiträge

SAP Maintenance Optimizer: Support Package Level is unknown

31 / 279

rz10.de - die SAP Basis und Security Experten

Automatische Prüfung für SAP SicherheitshinweiseSAP Basis und SAP Security Berater von RZ10 buchen

32 / 279

rz10.de - die SAP Basis und Security Experten

Ausplanen eines eingeplanten Importauftragsvon Dominik Busse - Beitrag vom 20. März 2014

Um zu verhindern, dass ein via STMS eingeplanter Importauftrag zum gesetzten Termin importiertwird, muss dieser ausgeplant werden. Die Option zum Ausplanen eines eingeplanten Importauftragsbefindet sich jedoch nicht in der STMS.

Ausgangssituation

Die Ausgangssituation ist ein zum Import eingeplanter Transportauftrag in der STMS, welcher amUhren-Icon in der letzten Spalte zu erkennen ist:

In der STMS finden Sie zwar eine Option zur Importeinplanung – eine Option zum Ausplanen voneingeplanten Importen befindet sich dort jedoch nicht. Tatsächlich verbirgt sich hinter einerImporteinplanung ein Job. Dementsprechend gelingt das Ausplanen des Imports nur, indem Sie denJob zum Import löschen. Die notwendigen Schritte beschreibe ich im folgenden Tutorial.

Den Jobnamen zum Ausplanen des Importauftrags herausfinden

Den Namen des Jobs zum Importauftrag erhalten Sie, indem Sie doppelt auf das Uhren-Icon hinterdem Transportauftrag in der Importqueue klicken:

Es öffnet sich ein Dialog welcher Jobname und Jobnummer anzeigt. Orientieren Sie sich am Besten ander Jobnummer. In diesem Fall ist es Nummer 67:

Ausplanen eines bereits eingeplanten Importauftrags via SM37

Rufen Sie nun die SM37 (Einfache Jobauswahl) auf. In der Transaktion füllen Sie die Suchkriterien wie

33 / 279

rz10.de - die SAP Basis und Security Experten

folgt:

Als Jobname geben Sie TMS* ein, da der Jobname des Importjobs immer mit “TMS” beginnt.Weiterhin grenzen Sie auf Ihren Benutzernamen ein, wählen für den Jobstatus Geplantund Freigegeben und grenzen den Zeitraum der Selektion durch die Jobstartbedingung ein.

Als Ergebnis erhalten Sie alle Jobs, deren Jobname TMS enthält und die von Ihnen erstellt wurden. Sieerkennen den richtigen Job anhand des im vorherigen Schritt ermittelten Jobnamens bzw. anhand derenthaltenen Jobnummer (hier: Nummer 67):

Zum Ausplanen des Jobs markieren Sie diesen in der ersten Spalte. Nun wählen Sie in derMenüleiste Job – Freigegeben->Geplant, um vorerst nur die Freigabe des Jobs zurückzunehmen:

34 / 279

rz10.de - die SAP Basis und Security Experten

Anschließend können Sie den Job endgültig ausplanen, indem Sie den Job löschen. Hierfür markierenSie den Job erneut in der ersten Spalten und wählen das Mülleimer-Icon. Den daraufhinerscheinenden Dialog bestätigen Sie mit Ja:

Um das Ergebnis der Ausplanung zu überprüfen, schauen Sie sich erneut den betroffenenTransportauftrag in der STMS an. Das Uhren-Icon, welches die Importeinplanung darstellt, ist nunverschwunden:

35 / 279

rz10.de - die SAP Basis und Security Experten

Das Ausplanen des eingeplanten Importauftrags war erfolgreich.

Welche Erfahrungen haben Sie mit dem Ein- und Ausplanen von Importen gemacht? WelcheInformationen wünschen Sie sich noch zu diesem Thema? Ich freue mich auf Ihre Kommentare undIhr Feedback – gleich unterhalb dieses Beitrags!

Verwandte Beiträge

TP Befehle zur TransportsteuerungTransportauftrag aus Importqueue löschenSAP Transport Status zurücknehmenSpool-Aufträge manuell löschenTransporteur zu SAP Transport ermittelnSYNCMARK blockiert Importqueue: wrong syntax in tp callImporteinplanung von Transportaufträgen via STMS

36 / 279

rz10.de - die SAP Basis und Security Experten

Authentifizierung und Verschlüsselung beim E-Mail-Versandvon Florian Lucht - Beitrag vom 18. Dezember 2014

In einem früheren Beitrag hat Tobias Harmes gezeigt, wie der E-Mail-Versand über einen SMTP-Server im SAP-System schnell eingerichtet ist. Seit Netweaver Version 7.3 EHP 1 wird nun auch dieMöglichkeit der Authentifizierung und Verschlüsselung beim E-Mail-Versand mittels SSL/TLSunterstützt.

Die nötigen Einstellungen finden Sie, wie alle weiteren Angaben für die Einrichtung desEmailversands, in der Transaktion SCOT.

Falls Ihr SAP-System diese Möglichkeit noch nicht unterstützt (< 7.3 EHP1), empfehlen wir Ihnenfolgende zwei Möglichkeiten:

Die einfachste Variante besteht darin, den SMTP-Server als Relay für das SAP-System zu verwenden.Das heißt, aus dem SAP-System heraus können ohne Authentifizierung am Mailserver Nachrichten anjede E-Mail-Adresse verschickt werden. Eine Eingrenzung des Zieladressbereichs kann im SAP-System selbst erfolgen. Der SMTP-Server fungiert also nur als Weiterleitung. Die Einstellungen hierfürmüssen am Mailserver vorgenommen werden. Meist erfolgt dies über das Eintragen der IP-Adressedes SAP-Systems in einer entsprechenden Whitelist auf dem Mailserver (z.B. Exchange). BedenkenSie, dass dies für jede Systemlinie, von der E-Mails versendet werden sollen, vorgenommen werden

37 / 279

rz10.de - die SAP Basis und Security Experten

muss.

Ein alternativer Ansatz besteht darin, zwischen SAP-System und Mailserver einen weiteren Serviceals „Vermittler“ einzurichten. Dieser nimmt die Nachrichten unverschlüsselt und ohneAuthentifizierung aus dem SAP-System an und überträgt diese verschlüsselt an den Mailserver. DieseMöglichkeit bietet sich insbesondere für SAP-Systeme an, welche unter Linux laufen. DasBetriebssystem verfügt hier meist schon über passende Werkzeuge wie „sendmail “ oder „postfix“.Unter Windows wird zusätzliche Software benötigt, wie zum Beispiel hMailServer.

Weiterführende Informationen:

Hinweis 455140 – Konfiguration Email,Fax,Paging/SMS über SMTPHinweis 607108 – Problemanalyse beim Versand oder Empfang von Emails

Verwandte Beiträge

SAP Emailversand einrichten und testenSAP Basis und SAP Security Berater von RZ10 buchenCCMS-Alerts per E-Mail erhalten

38 / 279

rz10.de - die SAP Basis und Security Experten

Automatische Prüfung für SAP Sicherheitshinweisevon Tobias Harmes - Beitrag vom 13. Mai 2014

Auch die SAP bleibt nicht von Sicherheitslücken verschont, wie der jüngst erschienene Blogbeitrag“SAP Heartbleed: Kein OpenSSL – kein Problem?” meines Kollegen Tobias Harmes zeigt. GlücklicherWeise reagiert die SAP sehr schnell auf diese Risiken und veröffentlich zeitnah SAP Hinweise, um dieSicherheitslücken zu schließen. Zusätzlich findet monatlich ein sogenannter Patch Day der SAP statt,zu dem auch sicherheitsrelevante SAP Hinweise veröffentlicht werden.

Doch die schnelle Reaktionszeit der SAP bleibt völlig wirkungslos, wenn die SAP Hinweise nichtzeitnah implementiert werden. Oft ist aber auch gar nicht bekannt, welche SAP Sicherheitshinweiseim eigenen System bereits vorhanden oder notwendig sind. Wie Sie sich an dieser Stelle das Lebenleichter machen können, werde ich Ihnen im Folgenden darlegen.

Nur ein Sicherheitsscan bringt keine Sicherheit.

Wir erstellen individuelle SAP Security-Konzepte für Ihr Unternehmen und helfen bei derBehebung von Schwachstellen. Deshalb haben wir dafür auch ein passendesAngebot: Security-Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Die SAP hat für diesen speziellen Fall ein eigenes Tool entwickelt, das Bestandteil der SoftwareKomponente ST-A/PI ab Release 01M_* ist. Das Tool heißt RSECNOTE und wird über den SAP Hinweis888889 im System implementiert. RSECNOTE untersucht ihr System nach bereits implementiertenSicherheitshinweisen und listet diese bzw. die noch zu implementierenden Sicherheitshinweise auf.

Wichtig ist, dass Sie die Implementierungs-/Konfigurationsschritte gemäß dem Hinweis durchführenund sich die Berechtigungen wie im Hinweis beschrieben vergeben, damit Sie das Tool fehlerfreiverwenden können.

39 / 279

rz10.de - die SAP Basis und Security Experten

Nachdem Sie die Implementierung abgeschlossen haben, können Sie über die Transaktion ST13, inneueren Releases auch die Transaktion SA38, verwenden. Geben Sie dort, wie in der Abbildungdargestellt, jeweils im Eingabefeld das Programm RSECNOTE ein und führen Sie es aus.

Sie erhalten anschließend die schon angesprochene Liste mit implementierten bzw. noch zuimplementierenden SAP Hinweisen.

40 / 279

rz10.de - die SAP Basis und Security Experten

Wie halten Sie Ihre Systeme sicherheitstechnisch auf dem neusten Stand? Ich freue mich auf IhreKommentare.

Verwandte Beiträge

SAP Sicherheitslücke in der Transaktion SUIMANST - Werkzeug für die automatisierte HinweissucheSAP Heartbleed: Kein OpenSSL - kein Problem?Google Chrome Extension - SAP Any SearchSAP Basis und SAP Security Berater von RZ10 buchen

41 / 279

rz10.de - die SAP Basis und Security Experten

42 / 279

rz10.de - die SAP Basis und Security Experten

Benutzerstammsätze exportieren und importierenvon Silvia Scholer - Beitrag vom 16. Mai 2014

Wird ein Refresh auf einem System durchgeführt so ist es notwendig, die Benutzerstammsätzeinklusive der zugewiesenen Profile (Berechtigungsrollen) zu exportieren und nach dem Refreshwieder zu importieren.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Dazu die Transaktion SCC8 (Mandantenexport) im jeweiligen Mandanten aufrufen. Als “SelektiertesProfil” SAP_USER auswählen um die Benutzerstämme mit den zugewiesenen Profilen zu exportieren.Bei anderen Profilen, wie beispielsweise SAP_ALL wird der ganze Mandant exportiert.

43 / 279

rz10.de - die SAP Basis und Security Experten

Beim Zielsystem wird das System mit dem Mandanten angegeben, in welches Transportverzeichnisdes Zielsystems der Transportauftrag kopiert werden soll.

Nach Angabe der notwendigen Informationen kann der Export beginnen.

44 / 279

rz10.de - die SAP Basis und Security Experten

Es erscheint eine Übersicht, in der noch einmal kontrolliert werden kann, ob das richtige System unddas richtige Profil (SAP_USER) gewählt wurde. In der nachfolgenden Abbildung werden die Profile mitden Benutzerdaten exportiert.

Als Information werden die Transportaufträge angezeigt, die für den Transport in der STMSnotwendig sind. Diese müssen manuell in den Transportpuffer eingetragen werden um für denImport bereit zu stehen.

45 / 279

rz10.de - die SAP Basis und Security Experten

Über die Protokollanzeige kann überprüft werden, ob der Export erfolgreich war. Alternativ kann derExport über die SCC3 kontrolliert werden.

Durch Doppelklick auf die Zeile wird angezeigt wie viele Einträge exportiert werden.

46 / 279

rz10.de - die SAP Basis und Security Experten

Über die SCC8 können nicht nur Benutzerstämme und Profile sondern unter anderem auch ganzeMandanten (Profil SAP_ALL) in ein anderes System transportiert werden.

Welche Erfahrungen haben Sie mit dem Export von Benutzerstämmen gemacht? Ich freue mich aufIhre Kommentare.

Verwandte Beiträge

Sind Ihre Organisationsebenen in Rollen richtig gepflegt?Mandantenübergreifende SAP Benutzerliste erstellenMandantenkopieZusätzliche Filter bei der SUIM-Abfrage hinzufügenSAP Basis und SAP Security Berater von RZ10 buchen

47 / 279

rz10.de - die SAP Basis und Security Experten

Betriebssystembefehle via Transaktion ausführenvon Dominik Busse - Beitrag vom 17. Juni 2014

Sie haben keinen direkten Zugriff auf die Betriebssystem-Ebene eines SAP-Systems, möchten aberdennoch Betriebssystembefehle ausführen. Mit der folgenden Transaktion ist das Ausführen vonBetriebssystembefehlen ohne direkten Betriebssystem-Zugriff möglich.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Die Transaktion SM49 ermöglicht das Ausführen externer Betriebssystembefehle aus dem SAP-System heraus. Dabei können Sie einerseits auf vordefinierte Betriebssystembefehle zurückgreifenund andererseits weitere Betriebssystembefehle hinzufügen. Beide Szenarien werden im Folgendenerläutert.

Externe Betriebssystembefehle ausführen:

Führen Sie zunächst die Transaktion SM49 – Externe Betriebssystemkommandos aus. Sie sehen eineÜbersicht über alle vordefinierten Betriebssystembefehle:

48 / 279

rz10.de - die SAP Basis und Security Experten

Um einen Betriebssystembefehl auszuführen, klicken Sie doppelt auf den gewünschten Befehl. Indiesem Beispiel wählen wir den Betriebssystembefehl PING aus. Es öffnet sich die Detailansicht desBefehls:

49 / 279

rz10.de - die SAP Basis und Security Experten

In der Detailansicht werden die Grundinformationen zum ausgewählten Befehl angezeigt – so zumBeispiel der Typ des Betriebssystems (z.B. Windows) auf dem der Befehl ausgeführt wird. Nach demKlick auf Ausführen kann der Befehl weiter spezifiziert werden. Im Beispiel des Ping-Befehls mussschließlich noch eine IP-Adresse oder der Name eines Rechners als Parameter übergeben werden.Daraufhin kann der Befehl entweder direkt im Dialog ausgeführt werden [Ausführen (F8)] oder(zeitversetzt) im Hintergrund [Ausführen im Hintergrund (F9)]. Im Folgenden wird der Ping-Befehldirekt auf localhost ausgeführt:

50 / 279

rz10.de - die SAP Basis und Security Experten

Mit dem Klick auf Ausführen wird der Befehl direkt ausgeführt und die Ausgabe desBetriebssystembefehls wird angezeigt:

51 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Betriebssystembefehle selbst definieren:

Neben den vordefinierten Befehlen können Sie auch eigene/weitere Befehle – die im Rahmen deshinterlegten Betriebssystems möglich sind – definieren. Hierfür klicken Sie im Einstiegsbildschirm derTransaktion auf das Anlegen-Icon:

52 / 279

rz10.de - die SAP Basis und Security Experten

In dem Dialog zum Anlegen eines Betriebssystembefehls müssen Sie folgende Informationenhinterlegen:

Kommandoname: Der Titel des definierten Befehls, welcher in der Übersicht im Einstiegsbildschirmangezeigt wird. Wichtig: Der Name eigens definierter Betriebssystembefehle muss imKundennamensraum liegen und mit Z oder Y beginnen.

Betriebssystem: Hier geben Sie das Betriebssystem an, auf welchem das SAP-System läuft. WählenSie hierfür das Feld aus und öffnen Sie die Wertehilfe mit F4. Anschließend können Sie einbestimmtes Betriebssystem oder ANYOS auswählen, um den Befehl betriebssystemunabhängig zuhinterlegen.

Betriebssystem-Kommando: Hier geben Sie den eigentlichen Betriebssystembefehl an, welcherausgeführt werden soll.

Parameter für Betriebssystem-Kommando: In diesem Feld können Sie feste Parameter hinterlegen,die mit dem Befehl ausgeführt werden sollen.

Zusätzliche Parameter erlaubt: Setzen Sie den Haken, um zusätzliche Parameter beim Ausführen desBefehls zu erlauben.

Zur Veranschaulichung zeigt der folgende Screenshot das beispielhafte Anlegen eines externenKommandos für den Betriebssystembefehl help:

53 / 279

rz10.de - die SAP Basis und Security Experten

Letztendlich taucht der eigens definierte Betriebssystembefehl in der Übersicht im Einstiegsbild aufund kann wie oben beschrieben ausgeführt werden.

Sicherheitshinweis: Zugriff limitieren!

Der Zugriff auf die SM49 und das Ausführen von Betriebssystembefehlen aus dem SAP-Systemheraus ist aus sicherheitstechnischer Sicht natürlich höchst kritisch und sollte deswegen sehrlimitiert werden. Beim Öffnen der Transaktion und Ausführen von Befehlen werden die folgendenBerechtigungsobjekte geprüft:

54 / 279

rz10.de - die SAP Basis und Security Experten

Neben dem obligatorischen S_TCODE für das Ausführen der Transaktion an sich, ist hierbei dasBerechtigungsobjekt S_LOG_COM interessant, welches beim Ausühren eines Betriebssystembefehlsgeprüft wird. Es besteht aus den drei Berechtigungsfeldern:

COMMAND: In der Transaktion definierter Name des Betriebssystemkommandos

OPSYSTEM: Betriebssystem des Zielsystems (bspw. WINDOWS NT, ANYOS, AIX, UNIX)

HOST: Hostname des Zielsystems

Über dieses Berechtigungsobjekt können Sie das Ausführen einzelner Betriebssystembefehlelimitieren.

Welche Erfahrungen haben Sie mit dem Ausführen und Anlegen von Betriebssystembefehlen überdie SM49 gemacht? Gab es bereits Situationen, in denen Sie auf diese Möglichkeit zurückgreifenmussten? Ich freue mich auf Ihre Kommentare und Antworten!

Verwandte Beiträge

SAP Speichermodell in Windows UmgebungenTP Befehle zur TransportsteuerungNetzwerkverbindungen aus dem SAP testenBetriebssyteminformationen aus dem SAP heraus analysieren

55 / 279

rz10.de - die SAP Basis und Security Experten

SAP Basis und SAP Security Berater von RZ10 buchen

56 / 279

rz10.de - die SAP Basis und Security Experten

Betriebssyteminformationen aus dem SAP heraus analysierenvon Tobias Harmes - Beitrag vom 13. Februar 2012

Externes Hosting und Funktionstrennung machen mittlerweile die Suche nach Ursachen fürPerformance Engpässe zu einer Aufgabe mit vielen Beteiligten. Es gibt aber durchaus einige SAPTransaktionen, mit denen man auch ohne Root-Prompt und Zugriff auf den Solution ManagerInformationen über den Teil unterhalb des ABAP Stacks sammeln kann.

OS07N Operating System Monitor (neu)

DieOS07N (Report RSHOST1N) bietet eine schnelle Übersicht über Betriebssysteminformationen undSpeicherauslastung. Vor allem aber kann man schnell zwischen den Applikationsservern hin und herspringen und so sich einen guten Überblick über alle beteiligten Systeme verschaffen. Die Datenbasieren auf Informationen die via CCMS und dem saposcol (Operating System Collector)eingesammelt werden.

ST06 – Operating System Monitor (alt)

Da vor allem die historischen Werte in der OS07N oft nicht abrufbar sind und erst konfiguriertwerden müssen, leistet die ST06 weiterhin gute Dienste. Tipp: Auf den jeweiligen Applikationsserverkann man über die SM51 springen: Doppelklick auf den Applikationsserver öffnet einen neuen Modusauf dem Applikationsserver.

57 / 279

rz10.de - die SAP Basis und Security Experten

Daily Averages – Last 30 Days erlaubt einen Überblick über die letzten 30 Tage. Über Details kannman sich dann wiederumm die Details für einen Tag auswählen.

58 / 279

rz10.de - die SAP Basis und Security Experten

Wenn man “More information” auswählt kann man durch die verschiedenen Sichten CPU, Memory,Disk times, LAN, Filesystem statistics durchschalten.

Report RSBDCOS0 – Betriebssystemkommandos ausführen

Mit dem Report RSBDCOS0 kann man Befehle auf Betriebssystemebene absetzen – allerdings imKontext des SAP System-Users. Also zum Beispiel <sid>adm oder SAPService<SID>. Dort gehendann natürlich nur Befehle die keine root/Administrator-Berechtigungen benötigen.

Verwandte Beiträge

Die neue SAP Transaktion SU53 - Zu Risiken und Nebenwirkungen…Systemauslastung aufzeichnen und analysierenBetriebssystembefehle via Transaktion ausführen

59 / 279

rz10.de - die SAP Basis und Security Experten

brbackup Fehler: ORA-01149 cannot shutdown – file 1 hasonline backup setvon Timo Eckhardt - Beitrag vom 28. Oktober 2013

Ein Backup mit brtools schlägt mit folgendem Hinweis fehl:

ORA-01149: cannot shutdown – file 1 has online backup set

Ein zuvor gestartetes Backup wurde nicht vollständig abgeschlossen.

Auf Betriebssystemebene überprüfen ob noch ein brbackup Prozess läuft:

ps -ef|grep brbackup

Wenn man brbackup manuell ausführt erhält man folgende Fehler:

BR0051I BRBACKUP 7.20 (17)BR0055I Start of database backup: bhekdmo.anf 2013-10-28 08.41.38BR0484I BRBACKUP log file: /oracle/<SID>/sapbackup/bhekdmo.anfBR0477I Oracle pfile /oracle/<SID>/112_64/dbs/init<SID>.ora created from spfile/oracle/<SID>/112_64/dbs/spfile<SID>.ora

BR0280I BRBACKUP time stamp: 2013-10-28 08.41.39BR0319I Control file copy created: /oracle/<SID>/sapbackup/cntrl<SID>.dbf 19546112BR0328E Database file /oracle/SID/sapdata1/system_1/system.data1 of tablespace SYSTEM isalready in backup statusBR0328E Database file /oracle/<SID>/sapdata1/sysaux_1/sysaux.data1 of tablespaceSYSAUX is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/undo_1/undo.data1 of tablespace PSAPUNDOis already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_1/datdb.data1 of tablespace PSAPSR3is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/keymap_1/keymap.data1 of tablespacePSAPKEYMAP is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_2/datdb.data2 of tablespacePSAPSR3 is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_3/datdb.data3 of tablespacePSAPSR3 is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_4/datdb.data4 of tablespacePSAPSR3 is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_5/datdb.data5 of tablespacePSAPSR3 is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_6/datdb.data6 of tablespacePSAPSR3 is already in backup statusBR0328E Database file /oracle/<SID>/sapdata1/datdb_7/datdb.data7 of tablespacePSAPSR3 is already in backup status

60 / 279

rz10.de - die SAP Basis und Security Experten

BR0056I End of database backup: bhekdmo.anf 2013-10-28 08.41.40BR0280I BRBACKUP time stamp: 2013-10-28 08.41.40BR0054I BRBACKUP terminated with errors

###############################################################################

BR0292I Execution of BRBACKUP finished with return code 3

BR0280I BRTOOLS time stamp: 2013-10-28 08.41.40BR0668I Warnings or errors occurred – you cancontinue to ignore them or go back to repeat the last action

Diese Fehlermeldung zeigt, welche tablespaces sich noch im backup status befinden, diese müssenmanuell festgelegt werden. Folgende Optionen können durchgeführt werden um den Fehler zu lösen:

überprüfen ob im Verzeichnis oracle/<SID>/sapbackup eine Sperrdatei liegt, falls ja muss dieseentfernt werden

Nun muss man manuell den backup status auf backup end setzen, sodass danach ein Backupdurchgeführt werden kann

SQL> select status from v$backup;STATUS–ACTIVEACTIVEACTIVEACTIVEACTIVEACTIVEACTIVEACTIVE

*** rows selected.

–> Hier sieht man, dass der Backup Status noch auf active gesetzt ist.

Um den Status manuell zu ändern, muss man für jeden tablespace folgenden Befehl absetzen:

SQL> alter tablespace PSAPSR3 end backup;

Output> Tablespace altered.

Zur Kontrolle kann man noch einmal folgenden Befehl ausführen. Hier sollte überall der Status “NOTACTIVE” stehen

61 / 279

rz10.de - die SAP Basis und Security Experten

SQL> select status from v$backup;STATUS–NOT ACTIVENOT ACTIVENOT ACTIVENOT ACTIVENOT ACTIVENOT ACTIVENOT ACTIVENOT ACTIVE

*** rows selected.

Nun kann man manuell erneut ein Backup anstarten und man wird sehen, dass das Backup ohne denoben aufgeführten Fehler erfolgreich gestartet werden kann.

Verwandte Beiträge

SAP Oracle Listener startet nichtÄndern der SAP Job BenutzerTablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS

62 / 279

rz10.de - die SAP Basis und Security Experten

CCMS-Alerts per E-Mail erhaltenvon Dominik Busse - Beitrag vom 25. September 2014

In diesem Tutorial möchte ich erläutern, wie Sie als SAP Basisadministrator den CCMS-Alert-Monitorkonfigurieren, um CCMS-Alerts per E-Mail zu erhalten.

Das SAP-eigene Überwachungstool Computing Center Management System Monitor (CCMS-Monitor)ist ein mächtiges Tool zum Überwachen des eigenen SAP-Systems. Um schnell auf (kritische)Ereignisse reagieren zu können, können Sie den CCMS-Monitor so konfigurieren, dass Sie CCMS-Alerts per E-Mail erhalten, sobald der Monitor Alarm schlägt.

In diesem Tutorial zeige ich, wie Sie E-Mail-Benachrichtigungen für einzelne Monitoring TreeElements (MTE) aktivieren können.

CCMS-Alerts per E-Mail erhalten – die Konfiguration:

Melden Sie sich zunächst im zu überwachenden System an und rufen Sie dieTransaktion RZ20 auf. Sie erhalten eine Übersicht über Ihre CCMS-Monitorsammlung.Wählen Sie dann einen Monitor durch Doppelklick aus:

63 / 279

rz10.de - die SAP Basis und Security Experten

Anschließend haken Sie das MTE an, für welches Sie CCMS-Alerts per E-Mail erhaltenmöchten und klicken auf Eigenschaften:

64 / 279

rz10.de - die SAP Basis und Security Experten

Auf dem Reiter Methoden können Methoden für automatische Reaktionen definiert werden.Wechseln Sie nun auf den Reiter Methoden:

65 / 279

rz10.de - die SAP Basis und Security Experten

Klicken Sie nun auf den Button Methodenzuordnung (siehe Bild oben) und wechseln Sie dannauf den Karteireiter Autoreaktion und aktivieren Sie den Änderungsmodus:

66 / 279

rz10.de - die SAP Basis und Security Experten

Im Bildschirmbereich Methodenzuordnung wählen Sie Methodenname aus, klicken in dasTextfeld und rufen via F4 die Wertehilfe auf. Es erscheint eine Liste aller verfügbarenMethoden. Um CCMS-Alerts per E-Mail zu erhalten benötigen wir die Methode CCMS_OnAlert_Email bzw. CCMS_OnAlert_Email_V2. Letztere unterscheidet sich insofern, alsdass initial mehr Parameter zur Konfiguration der versendeten E-Mail bereitgestellt werden.

67 / 279

rz10.de - die SAP Basis und Security Experten

Ein Doppelklick auf den Methodennamen im Textfeld öffnet die Konfiguration der Methode.Auf dem Karteireiter Parameter können Sie den CCMS-Alert per E-Mail konfigurieren:

68 / 279

rz10.de - die SAP Basis und Security Experten

Die Parameter der Methode CCMS_OnAlert_Email_V2 im Detail:

SENDER: SAP-Benutzer der Person, in dessen Namen die E-Mail versendet wird.

RECIPIENT: SAP-Benutzername, Verteilerliste oder externe E-Mail-Adresse. Falls Sie eine E-Mail anmehrere externe E-Mail-Adressen versenden möchten, müssen Sie zunächst einen Verteiler imMandant 000 anlegen. Falls der angegebene SAP-Benutzername nicht im Mandant 000 existiert,müssen Sie zusätzlich System und Mandant wie folgt angeben: SYSTEM:MANDANT:USERID (z.B.S1D:100:BUSSE).

RECIPIENT-TYPEID: Kennzeichen für den Adresstyp in Abhängigkeit des angegeben RECIPIENT. “U”für externe Internetadresse, “C” für Verteilerliste, “B” für SAP-Benutzername.

REACT_ON_ALERTS: Optionaler Parameter mit welchem Sie zusätzlich steuern können, in welchenFällen die E-Mail versandt wird. Mögliche Werte sind YELLOW oder RED.

SUBJECT_ALERT: Betreffzeile der CCMS-Alert-E-Mail.

SUBJECT_ALERT_CONT: Inhalt der CCMS-Alert-EMail.

Wenn Sie alle Parameter gepflegt haben, klicken Sie auf Speichern und die Methode ist aktiv.

Beim nächsten Alarm sollten Sie zur der betreffenden MTE CCMS-Alerts per E-Mail erhalten.

Haben Sie bereits Erfahrungen mit dieser Autoreaktionsmethode gesammelt? Vielleicht haben Sie ja

69 / 279

rz10.de - die SAP Basis und Security Experten

Tipps für MTEs, bei denen ein CCMS-Alert per E-Mail besonders sinnvoll/praktisch ist? Ich freue michauf Ihre Kommentare und Ihr Feedback!

Verwandte Beiträge

SAP Emailversand einrichten und testenÜberwachungspause im Solution Manager für ein System einplanenEinrichten des Alertings mittels Solution ManagerFehlerhafte Darstellung der Alert InboxAuthentifizierung und Verschlüsselung beim E-Mail-Versand

70 / 279

rz10.de - die SAP Basis und Security Experten

Datenbankgröße wird im EarlyWatchAlert und DBACOCKPITnicht angezeigtvon Tobias Harmes - Beitrag vom 3. Mai 2012

Nach einem Upgrade von R/3 4.7 auf ECC 6.0 werden im EarlyWatchAlert keine Informationen überdie Datenbankgröße mehr angezeigt. Das ERP-System läuft mit einem SQL Server 2005.

In der neuen Transaktion DBACOCKPIT wird der Fehler “SQL-Fehler 208 Invalid object name‘sap_tabstats'” gemeldet, wenn man die Tabellenstatistiken aufruft. Der Hinweis 1027512 enthieltden richtigen Wink:

Die Jobkonfiguration für die neue Datensammelmethode für die Tabellengrößenhistorie können Sieüber “DBACOCKPIT -> Platz -> Historie -> Tabellengrößenhistorie -> Job-Konfiguration” aufrufen.[…]

Der Name des SQL-Agent-Jobs lautet SAP CCMS_<sid>_<SID>_Update_Tabstats.

Genau dieser Job (im Enterprise Manager unter SQL Server Agent>Jobs einsehbar) ist permanent aufeinen Fehler gelaufen. Der Grund dafür war, dass die unterliegende Datenbank noch mit einemDefault-Schema dbo arbeitet. Zu sehen war das auch an den Job-Namen: CCMS_dbo_<SID>_*.Allerdings gab es für den Datenbankuser dbo keinen Login.

Lösung hierfür: Einen neuen Security Login ‘dbo’ anlegen.

Die Schwierigkeit dabei war, dass in der SAP Datenbank bereits ein User dbo vorhanden war, unddaher kein User Mapping auf den Datenbankuser angelegt werden durfte.

Dies kann man allerdings erreichen in dem man folgendes SQL-Script ausführt (ersetze <SID> durchdie eigene SID), und damit den User dbo zum Datenbankowner der SAP Datenbank macht:

use <SID>

exec sp_changedbowner ‘dbo';

go

In den Eigenschaften des Login-Users dbo kann man dann prüfen, dass das User Mapping korrektauf SAP Datenbankuser dbo mit Default Schema dbo konfiguriert ist.

71 / 279

rz10.de - die SAP Basis und Security Experten

Danach konnte der Job direkt unter SQL Server Agent>Job>CCMS_<sid>_<SID>_Update_Tabstatsausgeführt werden und die Tabellenstatistiken werden nun wieder korrekt angezeigt.

Verwandte Beiträge

TREX Monitoring mit Solution Manager DiagnosticsSAP NW IdM 7.1 – Hinzufügen eines JDBC-Treibers zum DispatcherSDCCN manuell konfigurieren

72 / 279

rz10.de - die SAP Basis und Security Experten

Download von SAP Sprachpaketenvon Tobias Harmes - Beitrag vom 8. Mai 2011

SAP bietet für viele verschiedene Sprachen Unterstützung an. Möchte man z.B. eine neue Sprache indas System importieren kann dafür die Transaktion SMLT (Sprachenmanagement) genutzt werden.

Zum Finden des Downloadpakets muss zunächst der SAP Language code ermittelt werden, z.B. aufder Globalization-Unterseite: https://service.sap.com/languages

Auf der Seite werden alle unterstützten Sprachen aufgeführt. Wählt man eine an, so erhält man den“ISO Code (2-Letter, for System Logon) “, ein zwei-Buchstaben Kürzel. Bei Tschechisch z.B. ist dieserzum Beispiel “CS” und nicht etwa “CZ”.

Mit dieser Information kann man dann wie gewohnt in das Downloadcenter gehen(https://service.sap.com/swdc ) und unter “Installation and Upgrades” nach der eingesetztenSoftware suchen. Dort werden dann z.B. bei NetWeaver auch die Sprachen-CDs mit aufgeführt. Wennder ISO Code nicht schon mit Strg+F auf der Seite zu finden ist, muss man ggf. dem “Info”-Link derSprachen-CDs folgen. Dort steht auch, ob es sich um ein multi-archiv handelt. In dem Fall muss manalle Sprachen-CDs/Archive herunterladen, um sie gemeinsam zu entpacken.

Siehe auch Hinweis 330104.

Verwandte Beiträge

Sprachpakte in SAP aktivieren - select one of the installed languagesAnmeldesprache für SAP Dialogbenutzer festlegen

73 / 279

rz10.de - die SAP Basis und Security Experten

74 / 279

rz10.de - die SAP Basis und Security Experten

Dumps nach Abbruch der SPAMvon Timm Funke - Beitrag vom 16. September 2011

Beim Einspielen von SAP Support Packages bricht die SPAM ab oder der Client verliert die Verbindungzum SAP System.

Das Fehlerbild ist dann abhängig davon, in welcher Phase dies geschehen ist. Mir ist es gerade imMain Import passiert.

Meldet man sich nun wieder am SAP System an, wird man von einer Vielzahl Dumps freundlichbegrüßt

Ein Aufruf der SPAM führt ebenfalls zu Dumps (Laufzeitfehler: SYNTAX_ERROR).

Das SLOG (usr/sap/trans/log/SLOG.SID) sah so aus:

STOP MAIN IMPORT <SID> I 20110915141958 SAPUSER <HOST> 20110915123207347

ERROR: stopping on error 12 during MAIN IMPORT

HALT 20110915141958

ERROR: uncaught internal error: ORA-03114: not connected to ORACLE

ERROR: EXIT(16) -> process ID is: 18929

STOP imp all <SID> 0016 20110915141958 SAPUSER <HOST> 20110915123207347

START MAIN IMPORT <SID> I 20110915144329 <SID>adm <HOST> 20110915144329001bdd

START MAIN IMPORT <SID> I 20110915144355 <SID>adm <HOST> 20110915144355001c4a

ERROR SAPKB70207 <SID> I 0012 20110915144630 SAPUSER <SID>adm <HOST>20110915144355001c4a

STOP MAIN IMPORT <SID> I 20110915144632 <SID>adm <HOST> 20110915144355001c4a

ERROR: stopping on error 12 during MAIN IMPORT

In diesem Fall muss man das Einspielen der Support Packages von Hand über das Betriebssystemvornehmen:

tp R3I all <SID> pf=/usr/sap/trans/bin/TP_DOMAIN_<SID>.PFL tag=spam -Dclientcascade=yes-Dstoponerror=8 -Drepeatonerror=8 -Dsourcesystems= -Dtransdir=/usr/sap/trans

75 / 279

rz10.de - die SAP Basis und Security Experten

Mit diesem Befehl wird dann die komplette Queue neu importiert.

Bricht der Befehl ab, sollte man ihn zuerst noch einmal wiederholen.

Anschließend kann man die SPAM wieder aufrufen und die Nacharbeiten des Imports ausführenlassen, in dem man die Queue dort wieder einspielt.

Ist der Abbruch nur bei einem Paket passiert, kann man sich auch erst den Buffer anzeigen lassen:

tp showbuffer <SID> pf=/usr/sap/trans/bin/TP_DOMAIN_SCD.PFL tag=spam

und anschließend eben jenes Packet von Hand einspielen:tp R3I SAPKB70207 <SID> pf=/usr/sap/trans/bin/TP_DOMAIN_<SID>.PFL tag=spam–Dclientcascade=yes -Dstoponerror=8 -Drepeatonerror=8 -Dsourcesystems=-Dtransdir=/usr/sap/trans

Verwandte Beiträge

Laufzeitfehler DDIC_TYPELENG_INCONSISTENTSYNCMARK blockiert Importqueue: wrong syntax in tp call

76 / 279

rz10.de - die SAP Basis und Security Experten

Fehler "unable to save the local file information" im SAPDownload Managervon Tobias Harmes - Beitrag vom 25. August 2011

Heute begrüßte mich der SAP Download Manager auf einem unserer Server mit der Information

“Unable to save the local file information: the store file could not be found.” Leider kannte dieXSEARCH der SAP zwar diese Fehlermeldung, aber keine Lösung.

Nach mehreren Neuinstallationen und auch einer Neuinstallation der Java JRE (32 Bit!) war dieFehlermeldung immer noch da. Damit war klar: ich brauche den ProcessMonitor von Sysinternals, umdem Problem auf die Spur zu kommen. Und siehe da, der Trace zeigte, dass der Download Managerein “ACCESS DENIED” beim Anlegen der Datei dlclient.localstate bekommen hat.

Nachdem ich diese Datei gelöscht hatte, hat der SAP Download Manager wieder ordnungsgemäßfunktioniert.

Verwandte Beiträge

Effizientes Application Lifecycle Management mit dem SAP Solution Manager 7.1Pakete im Download Basket bestätigen ohne MOPZSAP Kernel Update durchführen

77 / 279

rz10.de - die SAP Basis und Security Experten

78 / 279

rz10.de - die SAP Basis und Security Experten

Fehler bei der Einrichtung von SSO zum Portal mit SPNEGOvon Timm Funke - Beitrag vom 26. Juni 2011

Für ein SAP NetWeaver Portal soll SSO eingerichtet werden. Die Userverwaltung (UME) ist dabei aneinen ABAP Stack angebunden.

Auf Basis des SPNEGO CONFIGURATION GUIDE der SAP wurde SPNEGO konfiguriert.

Dabei ist zu beachten, dass es ab Netweaver 7.01 SP8 ein neueres SPNEGO-Modul gibt(https://service.sap.com/sap/support/notes/1457499 ).Nach dem Deployen des neuen Login Modul gab es folgenden Fehler:

Could not validate SPNEGO token. [EXCEPTION]java.lang.Exception: Checksum errorat com.sap.security.spnego.krb5.crypto.DesCrypto.decrypt (DesCrypto.java:43)at com.sap.security.spnego.krb5.KrbEncryptedData.decrypt (KrbEncryptedData.java:81)at com.sap.security.spnego.krb5.KrbApReq.decrypt(KrbApReq.java:67)atcom.sap.security.spnego.SPNEGOLoginModule.parseAndValidateSPNEGOToken(SPNEGOLoginModule.java:234)at com.sap.security.spnego.SPNEGOLoginModule.processAuthorizationHeader(SPNEGOLoginModule.java:385)at com.sap.security.spnego.SPNEGOLoginModule.login (SPNEGOLoginModule.java:102)

…

Dieser Fehler taucht auf Grund eines ungültigen Keytab Files auf. Dieses kann man dann nach demSAP Hinweis 1568553 neu anlegen.

Wichtig ist noch, dass die Einstellung für das SPNEGO Modul im Visual Admin ( unter ticketauthentication) richtig vorgenommen wurde:

Visual Admin – Server – Services – Security Provider

“ticket component”

” SPNEGOLoginModule” muss auf REQUISITE und nicht auf SUFFICIENT eingestellt sein.

Verwandte Beiträge

SAP Portal Anmelde-Popup beim Öffnen von MS Office-DateienFehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possibleInternet Explorer Client Certificate Popup unterbinden bei SSO SzenarioSingle Sign On mit KeePass

79 / 279

rz10.de - die SAP Basis und Security Experten

80 / 279

rz10.de - die SAP Basis und Security Experten

Fehler beim BI_CONT einspielen: Quellsystem existiert nichtvon Tobias Harmes - Beitrag vom 29. Januar 2012

Bei der Aktualisierung des BI Contents (auf BI_CONT 7.06) gab es in der SAINT einen Abbruch in derPhase RS_DTRF_AFTER_IMPORT/XPRA_EXECUTION: Quellsystem <Name des Quellsystems> existiertnicht (RSAR203). Nach kurzer Suche sind wir auf Hinweis 1564964 gestoßen: Den FunktionsbausteinRSAR_LOGICAL_SYSTEM_DELETE in der SE37 mit I_LOGSYS = <zu löschendes Quellsystem> und alleanderen Parameter = ‚X’ ausführen. (Vorher beachten, ob der dort erwähnte Hinweis eingespieltworden ist)

Das Problem dabei war: Wir mussten den Import in der SAINT immer wieder starten und jedes malwurde nur genau ein Quellsystem als verwaist gemeldet. Es stellte sich aber hinterher heraus, dassverwaiste Einträge von fast einem Duzend Quellsystemen im System vorhanden waren. Die Laufzeitdes Upgrades steigerte sich damit um zwei Tage, da er immer wieder nach der Bereinigung einesSystems neu gestartet werden musste.

Ich habe leider keinen offiziellen Weg gefunden, um im Vorfeld verwaiste Quellsysteme zu finden.Daher habe ich versucht, der Datenbank etwas Brauchbares zu entlocken. Die Tabelle RSBASIDOCenthält die Quellsysteme, so wie man sie auch in der RSA13 sehen kann. Da in den Hinweisen dieTabelle RSOLTPSOURCE für BW 3.x als Workaround genannte wird, habe ich schließlich folgendesSQL-Statement entwickelt:

select distinct logsys from RSOLTPSOURCE where logsys not in (select slogsys from RSBASIDOC)

Dieses Statement kann man z.B. auch über das DBACOCKPIT absetzen. Die Ergebnisliste wurde dannvom Anwendungssupport geprüft. Tatsächlich waren alle Treffer Quellsysteme, die schon vor einigerZeit aus der RSA13 entfernt worden sind. Mit der Liste und dem Vorgehen aus Hinweis 1564964konnten wir die verwaisten Quellsysteme im Vorfeld löschen und die Upgradezeit in denFolgesystemen von drei Tagen auf wenige Stunden verkleinern.

Verwandte Beiträge

SAP Systemkopie mit ChaRM und Urgent Corrections im EinsatzWartungszertifikate automatisch über den SAP Solution Manager beziehenKontrolleurzuordnung kann nicht gelöscht werden

81 / 279

rz10.de - die SAP Basis und Security Experten

82 / 279

rz10.de - die SAP Basis und Security Experten

Fehler beim Registrieren des saprouter Dienstesvon Timm Funke - Beitrag vom 21. Juni 2012

Beim Installieren des saprouter Services unter Windows 2008 habe ich eine Fehlermeldungbekommen:

C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p “service -r -Y 0 -C1000 -D -G c:usrsapsaproutersaprouter.log -J 50000000″

failure: OpenSCManager, NT ErrorMessage: Access is denied.

Die Lösung besteht darin, die Eigenschaften der Datei ntscmgr.exe anzupassen:

Anschließend lässt sich der Dienst ohne Probleme installieren.

83 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

Saprouter als Service mit SNC

84 / 279

rz10.de - die SAP Basis und Security Experten

Fehler im Upgrade auf EHP1von Timm Funke - Beitrag vom 10. Februar 2011

sapevent bekommt keine Verbindung zum SAP SystemDer Upgrade eines BW 70 auf EHP1 ist in den Phasen TABIM_UPG und XPRAS_UPG stehen geblieben.

Leider wurde im Installationstool (hier EHPI) kein Fehler angezeigt, aber die entsprechenden Phasensind nicht zum Ende gekommen.

Das Programm sapevent versucht über RFC einen Batchjob im SAP(Schatteninstanz) zu starten, diesbricht jedoch mit der Fehlermeldung ab:

received 4 bytes from MSG_SERVER Received opcode MS_DUMP_INFO from msg_server, replyMSOP_ACCESS_DENIEDMsOpReceiveReceived opcode MS_DUMP_INFO failed, reason MSOP_ACCESS_DENIEDMsDump : failed MSOP_ACCESS_DENIED (5)*** ERROR ***: Get message server parameters, rc = 5″

Dann warte der Upgrade Prozess einige Zeit und versucht es erneut und so weiter und so weiter…

Die Fehlermeldung findet man in der Datei dev_evt im tmp Verzeichnis der Installation, bzw. mankann das sapevent Tool auch manuell mit der Option -t starten, dann wird die Trace Datei imaktuellen Verzeichnis erstellt.

Zu dem Fehler kommt es, weil der sapevent die Profildatei DEFAULT.PFL zur Ermittlung des Ports fürden Message Server liest.In meinem aktuellen Fall wird dieser Port aber durch einen Eintrag im Instanzen Profil überschrieben(rdisp/msserv_internal).Das heißt, das SAP System laust auf “rdisp/msserv_internal” und sapevent spricht den MessageServer Port aus dem Default Profil an und kann so keinen Connect zu dem SAP System bekommen.Zur Lösung habe ich den Parameter im DEFAULT Profil korrigiert.

Verwandte Beiträge

Verhalten von Berechtigungen nach SAP Upgrades

85 / 279

rz10.de - die SAP Basis und Security Experten

86 / 279

rz10.de - die SAP Basis und Security Experten

Fehler: Issuer of SSO ticket is not authorized bzw. SSO logonnot possiblevon Dominik Busse - Beitrag vom 23. Januar 2014

Nach der Trennung eines SAP Dual-Stack-Systems auf ein separates Java- und ABAP-System kanndas SAP NetWeaver Portal Java keine ABAP-Inhalte mehr anzeigen und Single-Sign-On (SSO)funktioniert nicht mehr. Beim Anmelden erscheinen die Fehlermeldungen Issuer of SSO ticket is notauthorized bzw. SSO logon not possible.

Die SSO-Fehlermeldung:

Beim Anmelden via System Administration erscheint der Hinweis „SSO logon not possible; browserlogon ticket cannot be accepted“.

87 / 279

rz10.de - die SAP Basis und Security Experten

Beim Anmelden über die SAP Gui erscheint der Hinweis „Issuer of SSO ticket is not authorized“.

Dem SSO-Fehler auf der Spur:

Um auf die Ursache solcher Fehler zu stoßen, bietet sich ein Security Trace mit der SM50 an. Hierfürkann der Trace Level zunächst wie folgt auf Level 2 erhöht werden:

88 / 279

rz10.de - die SAP Basis und Security Experten

Ein erneutes Nachstellen des Fehlerfalls führte zu folgendem Log:

89 / 279

rz10.de - die SAP Basis und Security Experten

Im Log heißt es: “ERROR => System ID and client from ticket are not the same than mine […]”,sodass der Fehler in diesem Fall auf die nicht übereinstimmenden Clients zurückzuführen war.

Die Lösung des SSO-Fehlers:

Um das Problem zu lösen gilt es den entsprechenden Parameter login.ticket_client über die UME-Konfiguration des SAP NetWeaver Portals vorzunehmen. Je nach Version des Portal ändern Sie diesenParameter entweder über SAP NetWeaver Administrator (Portal > 7.2) oder über Visual Admin (Portal7.0). Den Parameter login.ticket_client finden Sie via Systemadminitration -> UME-Konfiguration ->Expertenmodus öffnen.

90 / 279

rz10.de - die SAP Basis und Security Experten

Im oben aufgeführten Fehlerfall hatte der Parameter login.ticket_client den Wert 777. Korrekterweisemüssen Sie hier den Client des Logon-Tickets (client 000) eintragen.

Sobald Sie den entsprechenden Wert für login.ticket_client eingetragen haben, sollte die Anmeldungwieder funktionieren.

Ich freue mich auf Ihre Kommentare und Ihr Feedback und hoffe, dass ich Ihnen bei der Lösung desProblems behilflich sein konnte.

Verwandte Beiträge

Fehler bei der Einrichtung von SSO zum Portal mit SPNEGOSSO Troubleshooting ChecklistSingle Sign On mit KeePassSingle-Sign-On: Trust-Verbindung einrichten mit dem SSO2-WizardSingle Sign On für SAP GUI

91 / 279

rz10.de - die SAP Basis und Security Experten

Fehleranalyse bei Startproblemen der J2EEvon Timm Funke - Beitrag vom 4. Februar 2011

Ab und zu kommt es ja doch einmal vor, dass unsere geliebte J2EE Engine nicht mehr starten

möchte. Habe ich zumindest mal gehört

Und gerade habe ich im Internet einen zwar nicht mehrganz neuen, aber irgendwie immer noch aktuellen Guide zum Vorgehen zur Analyse von eben diesenProblemen gefunden. Lege ich mal hier ab.

Verwandte Beiträge

JSPM Start: Error while detecting start profile

92 / 279

rz10.de - die SAP Basis und Security Experten

Gefährlicher Profilparameter auth/object_disabling_activevon Tobias Harmes - Beitrag vom 9. September 2014

Nach einer SAP Installation stellt sich oft die Frage welche Profilparameter angepasst werden sollen.Hierzu gehören in der Regel die Profilparameter zur Kennwortsteuerung, aber auch viele andere. Diemeisten Profilparameter bleiben allerdings unberührt, da der Defaultwert oftmals ausreichend ist.

Im folgenden Beispiel ist der Defaultwert jedoch äußerst sicherheitskritisch zu betrachten. DerProfilparameter auth/object_disabling_active besitzt standardmäßig den Wert Y und ermöglichtdadurch über die Transaktionen SU25 bzw. AUTH_SWITCH_OBJECTS ein globales Deaktivieren vonBerechtigungsobjekten. So könnte beispielsweise die Prüfung auf das Berechtigungsobjekt S_TCODEsystemweit ausgeschaltet werden.

Aus diesem Grund sollte nicht nur darauf geachtet werden, dass die Anwender keinen Zugriff auf dieoben genannten Transaktionen haben, sondern auch, dass der Profilparameter über die TransaktionRZ10 auf den Wert N gesetzt wird. Dadurch wird die globale Deaktivierung vonBerechtigungsobjekten unterbunden.

Welche Profilparameter erachten Sie für besonders sicherheitskritisch? Ich freue mich auf IhreKommentare.

Verwandte Beiträge

Überprüfung der SAP Standardbenutzer auf InitialkennwortAktivierung und Konfiguration des SAP Security Audit LogProfilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

93 / 279

rz10.de - die SAP Basis und Security Experten

Google Chrome Extension - SAP Any Searchvon Tobias Harmes - Beitrag vom 9. Mai 2014

Finden Sie es auch umständlich das Netz nach SAP Themen und Hinweisen zu durchsuchen? Danngenießen Sie jetzt den Vorteil der, von rz10.de bereitgestellten, Google Chrome Extension SAP AnySearch.

Mit SAP Any Search haben Sie die Möglichkeit im Netz nach SAP Inhalten zu suchen, ohneumständliche Umwege über die von SAP bereitgestellten Portale.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Markieren Sie einfach den gewünschten Begriff/die SAP Hinweisnummer in dem Artikel, den Siegerade lesen, öffnen Sie mit einem Rechtsklick das Kontextmenü und wählen Sie eine derverschiedenen Suchoptionen. Die Suchergebnisse werden Ihnen anschließend in einem neuenBrowser Tab präsentiert.

94 / 279

rz10.de - die SAP Basis und Security Experten

Alternativ können Sie auch einfach die sogenannte Omnibox Funktion von SAP Any Searchverwenden. Tippen Sie hierfür einfach das Keyword search in die Browserleiste ein, um die Sucheüber SAP Any Search zu aktivieren oder stellen Sie die SAP Any Search Omnibox alsStandardsuchmaschine für Ihren Google Chrome Browser ein.

Verwenden Sie dann einfach einen der folgenden Suchparameter.

n [SAP Hinweisnummer]: Öffnet den gesuchten SAP Hinweis

p [SAP Hinweisnummer]: Download des SAP Hinweises als PDF

s [Suchbegriff]: Durchsuchen des SCN

x [Suchbegriff]: Verwenden der SAP xSearch

r [Suchbegriff]: Durchsuchen von rz10.de

In dem nachfolgenden Beispiel wird die SAP xSearch für die Suche nach dem Begriff SolutionManager verwendet.

95 / 279

rz10.de - die SAP Basis und Security Experten

Profitieren Sie von der einfachen, bequemen, sowie schnellen Suche und installieren Sie sich dieGoogle Chrome Extension SAP Any Search.

Wie gefällt Ihnen die Extension? Welche Funktionen würden Sie sich noch wünschen, damit Sieoptimal unterstützt werden? Ich freue mich auf Ihre Kommentare.

Verwandte Beiträge

Lösung SAP Solution Manager installierenLösung SAP GRC 10 Access Control Lösung Neues SAP BerechtigungskonzeptAutomatische Prüfung für SAP SicherheitshinweiseLösung Behebung von Revisionsfeststellungen im SAPSAP Basis und SAP Security Berater von RZ10 buchen

96 / 279

rz10.de - die SAP Basis und Security Experten

Grafische Visualisierung von SAP Tabellen undTabellenbeziehungenvon Tobias Harmes - Beitrag vom 13. April 2012

Es kommt gelegentlich vor, dass man sich durch mehrere SAP Tabellen kämpfen muss, damit mandie Daten bekommt, die man sucht. Ich mache mir dann immer gerne ein Bild von der Tabelle undmöchte wissen: mit welchen Tabellen hängt diese Tabelle zusammen?

Die SAP bietet in der SE11 (Data Dictionary) ein mächtiges, aber leicht zu übersehendes Werkzeugan: Die Anzeige eines Netzplans für die Fremdschlüsselbeziehungen der aktuell ausgewähltenTabelle. Dafür wählt man in der SE11 die Option “Grafik” an oder nutzt die TastenkombinationStrg+Shift+F11:

Daraufhin öffnet sich eine Netzplangrafik (SAP Network Graphics). Diesen kann man nun fürselektierte Tabellen um Fremdschlüssel-Tabellen ergänzen.

97 / 279

rz10.de - die SAP Basis und Security Experten

Dadurch kann man aus den verknüpften Tabellen auswählen und mit in den Netzplan einfügen.

Das Ergebnis ist eine Übersicht über die Beziehungen der Tabellen.

98 / 279

rz10.de - die SAP Basis und Security Experten

Für eine schnelle Übersicht über die Felder von Tabellen lohnt sich übrigens auch ein Blick in den SAPQuickViewer (Transaktion SQVI). Hier ein Beispiel für die Ansicht einer Join-Abfrage.

Verwandte Beiträge

Abfrage von mehreren SAP Tabellen über den QuickviewerRisiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAPminimierenSAP Basis und SAP Security Berater von RZ10 buchen

99 / 279

rz10.de - die SAP Basis und Security Experten

100 / 279

rz10.de - die SAP Basis und Security Experten

HowTo Konfiguration von Adobe Document Services (ADS -SAP)von Timm Funke - Beitrag vom 26. April 2011

Der Adobe Document Service wird im Normalfall mit dem Java WAS mitinstalliert. Für dieKonfiguration sind noch einige Schritte zu beachten, diese habe ich in einem HowTozusammengetragen.

Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Dieses findet man hier:

How-to SAP ADS(PDF)

Dabei handelt es sich um folgende Systemumgebung:

Adobe Document Services (ADS) ist auf einem JAVA WAS installiert.

Angeschlossen wird der Service an ein SAP ERP System und zwar ohne Verschlüsselung (SSL).

Verwandte Beiträge

SSL Webservices im SAP nutzenSAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowedIDoc Status manuell ändernSAP Kernel Update durchführen

101 / 279

rz10.de - die SAP Basis und Security Experten

102 / 279

rz10.de - die SAP Basis und Security Experten

IDoc Status manuell ändernvon Dominik Busse - Beitrag vom 5. Mai 2014

Der IDoc Status eines bestimmten IDocs soll manuell verändert werden. Dieses Ziel kann mithilfeeines Standard SAP-Reports erreicht werden.

Ausgangssituation:

Immer wieder gibt es Situationen, in denen ein IDoc Status manuell verändert werden soll. Ich erlebees zum Beispiel häufig, dass ein IDoc zum Löschen markiert wurde (Status 68 bzw. Status 31), aberzu einem späteren Zeitpunkt die erneute Verarbeitung notwendig wird. In diesem Tutorial soll diesesBeispiel dargestellt werden.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Übersicht über IDoc Status

Zunächst möchte ich Ihnen einen kurzen Überblick über die gängigen IDoc Status geben. Hierbei giltzu beachten, dass die IDoc Status für ausgehende IDocs zwischen 01 und 49 liegen, während dieStatus für eingehende IDocs bei 50 beginnen:

Ausgehende IDocs:

Status 02 – Fehler bei der DatenübergabeStatus 03 – Datenübergabe an Port OKStatus 30 – IDoc ist versandfertigStatus 31 – Keine weitere VerarbeitungStatus 33 – IDoc editiert

103 / 279

rz10.de - die SAP Basis und Security Experten

Eingehende IDocs:

Status 51 – Anwendungsbeleg nicht gebuchtStatus 52 – Anwendungsbeleg unvollständig gebuchtStatus 53 – Anwendungsbeleg gebuchtStatus 64 – Idoc ist übergabebereitStatus 68 – Keine weitere VerarbeitungStatus 70 – IDoc editiert

Welchen IDoc Status sollte ich wählen?

Da das Ziel des Änderns des IDoc Status häufig die erneute Verarbeitung ist, bietet es sichan, das IDoc in den Status zu versetzen, in welchem es auf die Verarbeitung wartet. Beiausgehenden IDocs wählen Sie den Status 30, während Sie für eingehende IDocs den Status64 auswählen.

IDoc Status mit Report verändern

Zum Ändern des IDoc Status wird der Report RC1_IDOC_SET_STATUS verwendet. Dieser wird wiefolgt bedient:

1. Transaktion SE38 aufrufen und Status ausführen:

2. Im Report selbst, müssen Sie die IDoc-Nummer(n), den Nachrichtentyp desIDocs, den aktuellen IDoc Status und den neuen Status des IDocs angeben. Weiterhin gibtes die Möglichkeit, die Umsetzung des Status zunächst nur zu Testen:

104 / 279

rz10.de - die SAP Basis und Security Experten

3. Das Ergebnis des Reports stellt sich wie folgt dar:

Wenn die Anzahl der umgesetzten IDocs nicht der Anzahl der umzusetzenden IDocs entspricht, kannder IDoc Status des IDocs nicht verändert werden (bspw. weil dieses gerade von einem anderenBenutzer gesperrt ist). In diesem Fall probieren Sie es zu einem späteren Zeitpunkt erneut.

Was sind Ihre Erfahrungen mit dem ändern des IDoc Status? Gab es bereits Situationen, in denen Sieden Status manuell ändern mussten?

Ich freue mich auf Ihr Feedback und Ihre Kommentare gleich unterhalb dieses Beitrags!

Verwandte Beiträge

HowTo Konfiguration von Adobe Document Services (ADS - SAP)SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PISAP Basis und SAP Security Berater von RZ10 buchenSAP Heartbleed: Kein OpenSSL - kein Problem?

105 / 279

rz10.de - die SAP Basis und Security Experten

106 / 279

rz10.de - die SAP Basis und Security Experten

Importeinplanung von Transportaufträgen via STMSvon Dominik Busse - Beitrag vom 28. Februar 2014

Ein Transportauftrag soll nicht unmittelbar importiert werden, sondern zu einem bestimmten Termin.Die STMS bietet die Möglichkeit der Importeinplanung, sodass ein Import zu einem festgelegtenZeitpunkt durchgeführt werden kann.

Importeinplanung von Transportaufträgen in der Importqueue der STMS

Zu Beginn dieses Tutorials befinden Sie sich wie gewohnt innerhalb der STMS in der jeweiligenImportqueue des Systems, in welches importiert werden soll. Markieren Sie den zu importierenden

Transportauftrag mit F9 und wählen Sie das LKW-Icon .

Es öffnet sich der Dialog zum Import des Transportauftrages. Über diesen Dialog können Sie nichtnur sofort importieren, sondern auch eine Importeinplanung durchführen. Auf demReiter Termin markieren Sie Mit Startzeit und geben den gewünschten Starttermin ein:

Obwohl es keinen Einfluss auf die Importeinplanung hat, empfiehlt es sich generell für den Importvon Transporten auf dem Reiter Optionen den Haken bei Transportauftrag für weiteren Import in

107 / 279

rz10.de - die SAP Basis und Security Experten

Queue stehen lassen zu entfernen. Anschließend bestätigen Sie den Dialog durch einen Klick auf dengrünen Haken:

Im daraufhin angezeigten Dialog fragt das System explizit, ob der Import für den gewünschtenTransportauftrag eingeplant werden soll. Bestätigen Sie mit Ja:

Der Transportauftrag erscheint nun mit einem kleinen Uhren-Icon in der Importqueue:

108 / 279

rz10.de - die SAP Basis und Security Experten

Die Importeinplanung hat funktioniert.

Ich hoffe, dass ich Ihnen mit meinem Tutorial für zukünftige Anforderungen termingesteuerterImportaufträge helfen konnte. Bei Fragen stehe ich Ihnen gerne zur Verfügung und freue mich aufIhre Kommentare oder Beiträge.

Verwandte Beiträge

TP Befehle zur TransportsteuerungTransportauftrag aus Importqueue löschenAusplanen eines eingeplanten ImportauftragsSAP Transport Status zurücknehmenTransporteur zu SAP Transport ermittelnSYNCMARK blockiert Importqueue: wrong syntax in tp call

109 / 279

rz10.de - die SAP Basis und Security Experten

Internet Explorer Client Certificate Popup unterbinden bei SSOSzenariovon Tobias Harmes - Beitrag vom 25. Mai 2012

Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frageaufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem ClientZertifikat unterdrücken?

Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat.Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.

Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schönbeschrieben:http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung vonClientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eineBestätigung vor dem Senden an.

Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäretrotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAPService Portal gemacht worden und sollte ab Internet Explorer 8 gelten.

Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAPSupport mit meinem Client Zertifikat anmelde.

Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zusetzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.

Schritt 1: Seite zu den Trusted sites hinzufügen

110 / 279

rz10.de - die SAP Basis und Security Experten

Schritt 2: Zoneneinstellung für Trusted sites verändern

“Do not prompt for client certificate selection when no certificates or only one certificate exists.” auf“Enable” stellen

Zoneneinstellung Englisch

Zoneneinstellung Deutsch

111 / 279

rz10.de - die SAP Basis und Security Experten

Ergebnis:

Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nunhöchstens bei Webseiten denen man ohnehin vertraut.

https://service.sap.com/XSEARCH

Quellen:

http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

Verwandte Beiträge

Fehler bei der Einrichtung von SSO zum Portal mit SPNEGOSSO Troubleshooting Checklist

112 / 279

rz10.de - die SAP Basis und Security Experten

113 / 279

rz10.de - die SAP Basis und Security Experten

J-Co Destination kann nicht gestartet werdenvon Timo Eckhardt - Beitrag vom 16. April 2014

Im Netweaver Administrator unter dem Punkt Infrastruktur und J-Co Destination gibt es die MöglichkeitVerbindungen zu Satelitensystemen herzustellen.Hierfür müssen zwei Destinationen angelegt werden.Zum Einen LCRSARFC<SID> und zum Anderen SAPSLDAPI<SID>. Nach dem Anlegen der J-CODestination zum Satelitensystem erscheint der Fehler die “J-CO Destination kann nicht gestartet werden”.Somit kann keine Verbindung zwischen XI/PI/PO und dem Satelitensystem hergestellt werden. Auch dasmanuelle Starten hat keinen Erfolg. Die J-CO Destination wird sofort wieder gestoppt. J-CO Destinationkann nicht gestartet werden.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Die Ursache des Problems liegt darin, dass aus Sicherheitsgründen eine automatische Registrierung vonfremden Systemen nicht standardmäßig akzeptiert wird. Dies muss manuell aktiviert werden. Zurgenaueren Analyse des Fehlers kann man auf dem Satelitensystem im Gatemonitor (Transaktion SMGW)die Tracedateien anschauen sowie auf dem XI/PI/PO default Trace anschauen.

114 / 279

rz10.de - die SAP Basis und Security Experten

J-Co Destination lässt sich nicht Starten

Gateway Analyse (SMGW) im Satelitensystem

Tracefile in der Transaktion SMGW anzeigen lassen

*** ERROR => HOST=TP=*; invalid argument in line 1reg_info file not found

Logfile Analyse auf dem XI / PI / PO System

auf Betriebssystemebene des PI Systems

/usr/sap/<SID_des_XI_System>/DV******/j2ee/cluster/server0/log/defaultTrace_00.trc

115 / 279

rz10.de - die SAP Basis und Security Experten

Externen Zugriff über reginfo und secinfo erlauben

Nachdem man den Fehler lokalisieren konnte, kommen wir nun zur Lösung des Problems.

im Satelitensystem die Transaktion: SMGW – Gateway Monitor

die secinfo prüfen

-> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (secinfo)

und auch die reginfo prüfen

-> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (reginfo)

116 / 279

rz10.de - die SAP Basis und Security Experten

Es müssen in folgendem Verzeichnis auf Betriebsystemebene zwei Dateien angelegtwerden: /usr/sap/<SID>/DV*****/data

Alternativ kann man auch in der SMGW (siehe Screenshot) sowohl die secinfo als auch die reginfoerzeugen lassen. Dabei müssen die Programme für die der Zugriff erlaubt werden soll, manuellangegeben werden.

secinfo

#VERSION=2

P USER=* HOST=* TP=SAPSLDAPI_<SID>

P USER=* HOST=* TP=LCRSAPRFC_<SID>

P USER=* HOST=local TP=*

reginfo

#VERSION=2

117 / 279

rz10.de - die SAP Basis und Security Experten

P TP=SAPSLDAPI_<SID>

P TP=LCRSAPRFC_ <SID>

Anschließend kann in der Transaktion SMGW -> Springen -> Expertenfunktionen -> Externe Sicherheit-> Neu lesen die aktuelle Konfiguration eingelesen werden.

Syntax Eläuterung:

Hierbei hat der Zeilenanfang P oder D, gefolgt von einem Leerzeichen oder einem TAB, folgendeBedeutung:

P bedeutet, dass das Programm gestartet werden darf (analog zu einer Zeile der alten Notation)

D verhindert, dass dieses Programm angestartet wird.

USER=<user>, [PWD=<pwd>,] [USER-HOST=<user_host>,] HOST=<host>,TP=<tp>

Als Trennzeichen können Sie Kommas oder Leerzeichen verwenden. Falls TP-Name selbst Leerzeichenenthält, müssen Sie Kommas verwenden.

Durch eine entsprechende Zeile wird dem Benutzer <user> erlaubt, auf dem Rechner <host> dasProgramm <tp> zu starten.

Durch Angabe der optionalen Parameter PWD und/oder USER-HOST können Sie dieseBerechtigungsprüfung verschärfen.

Der Wert internal bei den Host-Optionen (HOST und USER-HOST) steht für alle Hosts des SAP-Systems.Das Gateway ersetzt dies intern mit der Liste aller Applikationsserver des SAP-Systems.

Bei allen Parametern kann * als generische Angabe (Wildcard) benutzt werden.

Startberechtigungen für externe Programme erteilen auf help.sap.com

Mit diesen Eintragungen wird den entsprechenden TP / Programmen / Hosts / User erlaubt sich amSystem zu registrieren, sodass sich anschließend im XI / PI / PO System die J-Co Destination erfolgreichstarten lassen.

118 / 279

rz10.de - die SAP Basis und Security Experten

Sie benötigen Unterstützung und haben Fragen zu diesem oder ähnlichen Problemen? Kommentieren Siediesen Beitrag oder rufen Sie uns einfach an.

Verwandte Beiträge

SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PISAP Oracle Listener startet nichtSAP Basis und SAP Security Berater von RZ10 buchen

119 / 279

rz10.de - die SAP Basis und Security Experten

JSPM Start: Error while detecting start profilevon Tobias Harmes - Beitrag vom 25. Juni 2013

Folgender Fehler ist nach der Aktualisierung unseres Testsystems aufgetreten: Error while detectingstart profile for instance with ID _b. Der JSPM ließ sich nicht mehr starten. Dieser Beitrag beschreibtdie Fehlerbehebung.

Das Testsystem besteht aus einem Java sowie ABAP Application Server. Für das Deployment konntenwir den SDM nutzen. Die Anwendungen, beispielsweise das Portal, waren vorhanden und liefen.Der erste Bezugspunkt für die Fehleranalyse ist der Log des JSPM. Zu finden ist dieser unter/usr/sap/<SID>/<central instance name>/j2ee/JSPM/log. Der Log war allerdings nicht sehraufschlussreich.

Nach einiger Recherche sind wir auf alte Profil-Dateien gestoßen. Diese sind mit _old benannt.Verschiebt man diese Dateien in einen Ordner außerhalb des Profil-Ordners (sapmnt/<SID>/profile)lässt sich der JSPM starten. Das Problem ist damit behoben und der JSPM wieder funktionsfähig.

Dieses Problem wurde auch bereits von meinem Kollegen Timm Funke im SCN erörtert und kann hiernachgelesen werden.

Was haben Sie schon mal für Effekte im Zusammenhang mit dem JSPM und Profil-Dateien erlebt? Ichfreue mich auf Ihr Feedback.

Verwandte Beiträge

Fehleranalyse bei Startproblemen der J2EESUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“SUM - validation of deployment queue completed with errorSAP NetWeaver Identity Management (IDM) Fehlerbehandlung für PowerShell Aufrufe

120 / 279

rz10.de - die SAP Basis und Security Experten

121 / 279

rz10.de - die SAP Basis und Security Experten

Kennworthistorie zurücksetzenvon Timm Funke - Beitrag vom 30. Januar 2011

Wer kennt das nicht, man braucht mal wieder in einem der vielen Systeme ein neues Kennwort undalle Kennwörter, die man sich merken kann, sind noch gesperrt.

Mit einem kleinen ABAP kann man nun die Kennworthistorie löschen und sein gewohntes Kennwort

somit wieder benutzen

REPORT ZPWDDEL . ************************************************** *

* This program resets the user’s password * history, so the user can use the same * password again.* **************************************************

TABLES: USR02.

PARAMETERS: USER LIKE USR02-BNAME.

SELECT * FROM USR02 WHERE BNAME = USER. ENDSELECT.

IF SY-SUBRC = 0.

USR02-OCOD1 = USR02-OCOD2 = USR02-OCOD3 = USR02-OCOD4 = USR02-OCOD5 =USR02-BCODE.

MODIFY USR02.

ELSE.

WRITE: / ‘User does not exist’.

ENDIF.

Verwandte Beiträge

Überprüfung der SAP Standardbenutzer auf InitialkennwortProfilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

122 / 279

rz10.de - die SAP Basis und Security Experten

123 / 279

rz10.de - die SAP Basis und Security Experten

Laufzeitfehler DDIC_TYPELENG_INCONSISTENTvon Timm Funke - Beitrag vom 29. Juli 2012

Nach einem Kerneltausch auf die Version 7.20 hat mich unser XI System heute mit etlichen Dumpsmit dem Laufzeitfehler DDIC_TYPELENG_INCONSISTENT begrüßt:

Ein Blick in die Details zeigt:

In aktuellen Releases kann man über die se38 den Report RSDDCHECK zur Hilfe nehmen, um dasObjekt zu analysieren:

Die Lösung an dieser Stelle ist recht simpel, in der se11 den Datentyp SWNCGLAGGTASKTYPEaktivieren und schon sieht der erneute Start des Reports so aus:

124 / 279

rz10.de - die SAP Basis und Security Experten

Sollten weitere Fehler dieser Art auftreten, ist der SAP Hinweis 1610716 zu beachten!

Und der Sonntag kann beginnen J

Verwandte Beiträge

Dumps nach Abbruch der SPAM

125 / 279

rz10.de - die SAP Basis und Security Experten

Mandantenkopievon Silvia Scholer - Beitrag vom 20. November 2014

Eine für sich handelsrechtlich, organisatorisch und datentechnisch abgeschlossene Einheit innerhalbeines SAP-Systems mit getrennten Stammsätzen und einem eigenständigen Satz von Tabellen wirdals Mandant bezeichnet. Im Zuge der Entwicklung und des Testens ist es oftmals notwendig, dassbeispielsweise eine Mandantenkopie von einem Produktivsystem zu einem Testsystem durchgeführtwird. Wie eine Mandantenkopie auszuführen ist und was zu beachten ist, werde ich imNachfolgenden aufzeigen.

Mandanten können innerhalb desselben Systems kopiert werden oder auch zwischen verschiedenenSystemlinien. Um Mandanten innerhalb derselben Systemlinie zu kopieren, gehen Sie wie folgt vor:

Zunächst wird im Quellsystem in der Transaktion “SCC4″ ein neuer Zielmandant definiert. Hierzuwählen Sie im Änderungsmodus “Neue Einträge”.

Abbildung 1: Transaktion SCC4

Anschließend werden die Metadaten (sprich Mandantennummer, Ort, logisches System etc.) für denneuen Mandanten eingegeben und gesichert.

126 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Metadaten des Mandaten

In der in Abbildung 1 gezeigten Tabelle wird der neue Mandant angezeigt.

Anmerkung: Der Mandant wurde jetzt noch nicht kopiert. Die tatsächliche Mandantenkopie kommtals nächstes. Vorher sollten Sie zur Sicherheit die Datenbank sichern.

Melden Sie sich im Zielmandanten mit dem Benutzer SAP* und dem Passwort PASS an. Über dieTransaktion “SCCL” wählen Sie über das Profil aus, welche Daten kopiert werden sollen sowie denZielmandanten.

Abbildung 3: Kopierprofile

Anschließend kann die Mandantenkopie im Hintergrund gestartet werden. Bedenken Sie, dass dieserVorgang mehrere Stunden dauern kann und durch Arbeiten im Quellsystem verzögert werden kann.

Über die Transaktion “SCC3″ kann dieser Vorgang überwacht werden.

Welche Erfahrungen haben Sie mit Mandantenkopien gemacht? Ich freue mich auf Ihr Feedback.

127 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

SAP Basis und SAP Security Berater von RZ10 buchenBenutzerstammsätze exportieren und importierenSAP Standardrollen kopieren und generieren

128 / 279

rz10.de - die SAP Basis und Security Experten

Massensperren von Benutzern via SU10von Tobias Harmes - Beitrag vom 20. Januar 2012

Für Wartungsarbeiten wie zum Beispiel Upgrades oder das Einspielen von Support Packages kann essinnvoll sein, alle nicht benötigten Benutzer eines Systems zu sperren. Dies kann über die SAPTransaktion SU10 durchgeführt werden.

Für die Verwendung der SU10 hilft es, standardisierte Vorgehensweisen zur Festlegung derBenutzer-Zuordnung und Gültigkeit zu haben.

Wir erstellen individuelle SAP Berechtigungskonzepte, die solche Themenberücksichtigen. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführungvon neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalbhaben wir dafür auch ein passendes Angebot: SAP Berechtigungskonzepte entwickeln Unsere Referenzen finden Sie hier.

129 / 279

rz10.de - die SAP Basis und Security Experten

MaxDB 7.8 Passwort-Resetvon Tobias Harmes - Beitrag vom 10. Juli 2012

Wer kennt das Problem nicht? Man arbeitet auf den unterschiedlichsten Systemen, hat unzähligeBenutzer und dementsprechend mindestens so viele Passwörter, die man sich merken muss. Jetztgibt es natürlich nützliche Tools, die einem an dieser Stelle das Leben erleichtern (dazu spätermehr). Aber was, wenn man kein Tool im Einsatz und das Passwort vergessen hat? Oft kann man dasPasswort zurücksetzen lassen und erhält dann eine E-Mail mit dem neuen Passwort.

Bei SAP, genauer gesagt bei der MaxDB, ist das aber etwas anders. Sollte man das, bei derInstallation des SAP-Systems, angelegte Masterpasswort vergessen haben oder sollte es aufgrundanderer Umstände ungültig sein, hat man keine Möglichkeit mehr auf die Datenbank zuzugreifen.Dies ist vor allem dann erforderlich, wenn zum Beispiel die Datenbanklog vollgelaufen ist oder dieDatenbank einfach nicht über den Service automatisch gestartet wurde.

Doch was ist die Konsequenz? Die Konsequenz ist ein nicht startendes SAP-System, das in einemsolchen Szenario noch einmal komplett neu aufgesetzt werden müsste. Falls man einenWiederherstellungspunkt in Petto hat, dann herzlichen Glückwunsch, man verliert nur die Daten nachdiesem Zeitpunkt. Doch falls es kein Backup gibt, ist es aus und vorbei. Richtig?! Falsch!

Es gibt eine Methode das Passwort der MaxDB zurückzusetzen, die ich im Folgenden beschreibenwerde. Alles was man dazu braucht ist der “Hex Workshop” Hex-Editor, den man unterhttp://www.hexworkshop.com/ herunterladen kann.

1. Als erstes muss man mit dem Hex Editor die .upc Datei öffnen, in der die Benutzerprofilebinär gespeichert sind. Die Datei hat die Form DBNAME.upc. Wichtig ist, dass die Datei im little Endian Modus (siehe Screenshot) bearbeitet wird.

2. Danach sucht man nach dem Benutzer Control und macht dort die Angaben, wie sie auf demScreenshot zu sehen sind. Die erste Werte werden zwischen 18 00 und der zweiten 18geändert. Der zweite Eintrag beginnt hinter 43 52 59 50 54 04 18 und steht auf der rechtenSeite für CRYPT.. . Durch die Änderungen wird das Passwort für den Benutzer Control aufpassword gesetzt. Natürlich funktioniert dieses Vorgehen für jeden Benutzer, der sich in der.upc Datei befindet.

3. Server neu starten.4. Falls nicht bereits vorhanden, muss man sich jetzt noch den MaxDB Database Manager

installieren und im Anschluss folgende Eingabe in der Konsole machen. Pfad zum MaxDBDatabase Manager Ordner in dem die dbmcli.exe liegt. C:[…]>dbmcli -d DBNAME -ucontrol,password user_put control password=password.

5. Nachdem die Eingabe bestätigt wurde wechselt man in das SAP Verzeichnis, in dem dieaktuelle Version der dbmcli.exe liegt und macht dort die Angaben wie folgt; C:[…]>dbmcli -dDBNAME -u control,newpassword user_put control password=newpassword. Dadurch bleibendie Daten konsistent.

130 / 279

rz10.de - die SAP Basis und Security Experten

Eingaben im Hex Editor

Zum Schluss muss man sich nur noch über das Developer Studio mit dem geänderten Benutzer unddem neuen Passwort anmelden und hat wieder vollen Zugriff auf die Datenbank.

Wie eingangs schon erwähnt gibt es nützliche Tools, um sich das Leben einfacher zu gestalten. DasTool meiner Wahl heißt “KeyPass” und kann unter http://keepass.info/ heruntergeladen werden.KeyPass ist eine Passwortdatenbank mit der alle Passwörter verwaltet werden können. Nebenunzähligen nützlichen Features ist der große Vorteil, dass man sich nur noch das Passwort für denZugriff auf KeyPass merken muss und somit das Risiko Passwörter zu vergessen minimiert wird. DasPasswort für KeyPass sollte aber nicht vergessen werden, da dort ein Passwort-Reset bzw. -Recoverynicht mehr möglich ist.

Verwandte Beiträge

SAP NW IdM 7.1 – Hinzufügen eines JDBC-Treibers zum Dispatcher

131 / 279

rz10.de - die SAP Basis und Security Experten

132 / 279

rz10.de - die SAP Basis und Security Experten

Netzwerkverbindungen aus dem SAP testenvon Tobias Harmes - Beitrag vom 21. August 2011

In der Regel kommt der Betrieb der SAP Applikationsserver und der Netzwerk-/Firewall-Infrastrukturnicht aus einer Hand. Das kann die Ursachenanalyse für ein Problem erschweren. Gut wenn man alsSAP Basis Mitarbeiter ein paar Werkzeuge kennt, um Applikationsprobleme von gestörten oderabgeschotteten Netzwerkverbindungen abgrenzen zu können.

Telnet

Hinweis: Bei neueren Windows-Installationen muss man den Telnet-Client erst nachinstallieren. UnterLinux/Unix ist es im Standardumfang enthalten.

Aufruf:

telnet hostname port

Beispiel:

telnet meinsaprouter.company.com 3299Wird die Console schwarz und ein Cursor blinkt links oben dann ist die Verbindung erfolgreichhergestellt worden. Die Verbindung beenden kann man mit “CTRL++” und der Eingabe quit.

Blockiert eine Firewall die Verbindung, dann dauert es eine Weile bis schließlich ein Timeoutgemeldet wird.

Wird die Verbindung aufgebaut, aber gleich darauf getrennt, ist die Wahrscheinlichkeit hoch, dass esein saprouter/Dienst-Problem ist.

Niping

Mit niping kann man die Verbindung zu einem Dispatcher oder Gateway testen, inklusive der SAPRouter dazwischen. Dies ist ein deutlicher Vorteil gegenüber den direkten Tools wie telnet undnetcat.Tipp: Über den Report RSBDCOS0 kann man das Programm direkt auf dem Applikationsserver ohneBetriebssystemzugriff laufen lassen.Aufruf:

niping -c -H HOSTNAME oder SAPROUTERSTRING -S PORT

1. Beispiel:

[1]niping -c -H /H/meinsaprouter.company.com -S sapdp99

[1]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99

133 / 279

rz10.de - die SAP Basis und Security Experten

Sun Aug 21 18:22:07 2011

***LOG Q0I=> NiPConnect2: meinsaprouter.company.com:3299: connect (10061:WSAECONNREFUSED: Connection refused) [nixxi.cpp 3133]

*** ERROR => NiPConnect2: SiPeekPendConn failed for hdl 1/sock 268

(SI_ECONN_REFUSE/10061; I4; ST; meinsaprouter.company.com:3299) [nixxi.cpp 3133]

*** ERROR => NiTClientLoop: NiHandle (rc=-10) [nixxtst.cpp 2529]

2. Beispiel:

[2]niping -c -H /H/meinsaprouter.company.com -S sapdp99

[2]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99

Sun Aug 21 18:25:01 2011

connect to server o.k.

*** ERROR => NiBufIProcMsg: hdl 1 received rc=-93 (NIEROUT_INTERN) from peer [nibuf.cpp 2115]

*** ERROR => NiTClientLoop: NiTReadLoop (rc=-93) [nixxtst.cpp 2529]

Bei dem ersten Beispiel war der SAP Router Dienst nicht gestartet, beim zweiten Beispiel war derZugriff erfolgreich. Die “*** ERROR” Nachrichten kann man vernachlässigen.

Netcat

Für andere Netzwerkdienste (z.B. Test ob der Mailserver-Port offen ist) kann man neben telnet auchnetcat sehr gut einsetzen. Allerdings ist das Programm nur in der Unix/Linux-Welt imStandardumfang verfügbar.Aufruf:

netcat -w5 -z -v HOSTNAME PORT

-w 5 sekunden warten

-z port scanning only

-v verboseBeispiel:

[6]netcat -w5 -z -v mail.company.com 25 2>/tmp/test_mailtest.txt

[7]cat /tmp/test_mailtest.txt

mail.company.com [10.0.0.1] 25 (smtp) openDurch die Parameter im Beispiel läuft netcat nicht-interaktiv und ist damit auch wieder für den SAP

134 / 279

rz10.de - die SAP Basis und Security Experten

Report RSBDCOS0 geeignet.

Verwandte Beiträge

SAP Emailversand einrichten und testenSaprouter als Service mit SNCBetriebssystembefehle via Transaktion ausführen

135 / 279

rz10.de - die SAP Basis und Security Experten

OK – Codes für SAPvon Timm Funke - Beitrag vom 30. Januar 2011

Im Transaktionsfeld eines SAP Systems lassen sich nicht nur die Transaktionen aufrufen. ImFolgenden stelle ich zusammen, welche sogenannte OK-Codes noch möglich sind:

OK-Code Beschreibung/o Übersicht der offenen Modi und die

Möglichkeit einen bestehenden zulöschen oder einen neuen zu erzeugen.

/oTransaktion Öffnen eines neuen Modi mit derTransaktion transaktion

/nTransaktion Beenden der aktuellen Transaktion undstarten der neuenTransaktion transaktion im aktuellenMode. Achtung, nicht gespeicherte Datengehen ohne Warnung verloren!

/*Transaktion Beenden der aktuellen Transaktion undstarten der neuenTransaktion transaktion im aktuellenMode. Der erste Bildschirm der neuenTransaktion wird nicht angezeigt(wenn?). XXX Achtung, nichtgespeicherte Daten gehen ohneWarnung verloren!

/i Beendet den aktuellen Modus. Achtung,nicht gespeicherte Daten gehen ohneWarnung verloren!

/iModus Beendet den angegebenen Modus.Achtung, nicht gespeicherte Datengehen ohne Warnung verloren!

/nend Beendet die aktuelle Sitzung undschließt alle offenen Modi. Es wird eineBestätigung verlangt, in denverschiedenen Modi noch nichtgespeicherte Daten gehen ohne weitereWarnung verloren.

/nex Beendet die aktuelle Sitzung ohneNachfrage. Alle offenen Modi werdenohne Nachfrage geschlossen, Datenkönnen verloren gehen.

.xyz Traversieren der Menü-Shortcuts(Hotkeys)

136 / 279

rz10.de - die SAP Basis und Security Experten

/h Springen in den Debugger (Im R/2: ‘h’,»Hoppeln«)

/hs Springen in den Debugger(Systemfunktionen?)

/$SYNC Synchronisieren aller Puffer. Durch dieseFunktion kann die Performance erheblichverringert werden!

/$TAB Synchronisiere den Tabellen-Puffer.Durch diese Funktion kann diePerformance negativ beeinflußt werden.

/$CUA Synchronisiere den CUA-Puffer. Durchdiese Funktion kann die Performancenegativ beeinflußt werden.

/$NAM Synchronisiere den NAMTAB-Puffer. Durchdiese Funktion kann die Performancenegativ beeinflußt werden.

/$DYNP Synchronisiere den Dynpro-Puffer. Durchdiese Funktion kann die Performancenegativ beeinflußt werden.

/h In den Debugger wechseln. XXX WelcheBerechtigungen sind hier erforderlich?

/bend Batch-Input beenden, dabei können Siemit »Wiederaufnahme« in dieTransaktion SM35 zurückspringen.

/p– Auf die erste Seite einer Liste springen. /p- Eine Seite rückwärts blättern. /p+ Zur nächsten Seite vorblättern. /p++ Auf die letzte Seite springen. %pc Liste downloaden. %sc In der Liste suchen. %pri Angezeigte Liste drucken.

Verwandte Beiträge

SU24 Pflege für eigene Transaktionen

137 / 279

rz10.de - die SAP Basis und Security Experten

138 / 279

rz10.de - die SAP Basis und Security Experten

ORA 28011 z.B. beim Anmelden mit dem SYSTEM Accountvon Timm Funke - Beitrag vom 29. März 2011

Wenn man sich mit dem SYSTEM Account an eine Oracle DB anmeldet, bekommt man einenORA-28011. Die Anmeldung funktioniert dann zwar, aber oft wird diese “Fehler” Meldung vonSkripten nicht abgefangen, sondern diese brechen ab.

Zuerst schauen wir uns an, zu welchem Profil der Benutzer gehört:

SQL> select username, profile from dba_users;

USERNAME PROFILE

—————————— ——————————

SAPR3 SAPUPROF

SYS DEFAULT

DBSNMP DEFAULT

OUTLN DEFAULT

OPS$ORAF3D DEFAULT

OPS$F3DADM DEFAULT

DIP DEFAULT

SYSTEM DEFAULT

ORACLE_OCM DEFAULT

APPQOSSYS DEFAULT

10 rows selected.

SQL>

Nun schauen wir uns die Beschränkungen für alle User mit dem Profile “DEFAULT” an:

select LIMIT, RESOURCE_NAME from dba_profiles

where PROFILE = ‚DEFAULT’

and RESOURCE_NAME in

(‘PASSWORD_GRACE_TIME’,’PASSWORD_LIFE_TIME’,‘PASSWORD_REUSE_MAX’,’PASSWORD_REUSE_TIME’);

LIMIT RESOURCE_NAME

139 / 279

rz10.de - die SAP Basis und Security Experten

—————————————- ——————————–

180 PASSWORD_LIFE_TIME

UNLIMITED PASSWORD_REUSE_TIME

UNLIMITED PASSWORD_REUSE_MAX

UNLIMITED PASSWORD_GRACE_TIME

Und hier sehen wir auch schon das Problem, die Life_Time steht auf 180. Mit dem Kommando:

select ptime,sysdate, floor(sysdate- ptime) from sys.user$ where name= ‚SYSTEM’ kann manherausfinden, wann das Kennwort zum letzten Mal geändert worden ist.

Nun gibt es zwei Lösungsmöglichkeiten, entweder verändert man die PASSWORD_LIFE_TIME:

alter profile default limit PASSWORD_LIFE_TIME unlimited;

oder man ändert im SQL mit password einfach das Kennwort des Benutzers.

Verwandte Beiträge

Oracle-/DB Administration und Performance TransaktionenSAP Oracle Listener startet nicht

140 / 279

rz10.de - die SAP Basis und Security Experten

Oracle-/DB Administration und Performance Transaktionenvon Timm Funke - Beitrag vom 25. Februar 2011

Anbei eine Übersicht über die wichtigen Transaktionen für den Betrieb einer Oracle Datenbank unterSAP

Transaktion Name BeschreibungDBACOCKPIT Admin Cockpit Zentraler Einstieg in die Oracle

Administration (DB02, DB13)DB01 Oracle Lock Monitor Anzeige von Oracle Locks, auf

die gewartet werden mussDB02 Database-Performance Übersicht über Tablespace und

Tabellen / Indexe der Datenbankmit Einstieg in Detailanalysen

DB03 Parameteränderung derDatenbank

Anzeige derDatenbankparameter inklusiveihrer Änderungshistorie

DB12 Sicherungsprotokolle Überblick über die Historie derDatenbank und der Redo-LogSicherungen

DB13 DBA Einplanungskalender Kalender umDatenbankoperationeneinzuplanen, wie DB Checksoder Aktualisierung der OracleStatistiken

DB14 Protokollanzeige DBA Anzeige der Protokolle allerOperationen der BR* Tools

DB16 Datenbankprüfungen Anzeige der Fehlermeldungenund Warnungen des letzten DBChecks

DB17 Datenbankprüfbedingungen Pflege derDatenbankprüfbedingungenbeim Einsatz von DB-Checks(BR*Tools)

DB20 Tabellenstatistik Überblick über die Statistikeiner einzelnen Tabelle undNeuanlegen, wenn nötig

DB21 Konfiguration derStatistikerstellung

Pflege der Statistik-Ausnahmetabelle DBSTATC

DB24 Protokolle administrativer DBOperationen

Statusanzeige (Ampelsystem)von DB Operationen wieBackups, Checks undStatistikläufen

DB26 Datenbankparameter Anzeige und Pflege(eingeschränkt) der OracleParameter (detaillierter alsDB03)

DBCO Datenbankverbindungen Pflege vonDatenbankverbindungen, dievom System genutzt werdenkönnen, z.B. bei DB26 (NICHT

141 / 279

rz10.de - die SAP Basis und Security Experten

Verbindung Workprozesse –Schattenprozesse!)

ST04N Datenbank-Performance-Monitor Überblick über OraclePerformancekennzahlen,Session Monitor, V$Tables, SGAund PGA Monitor

Es sind die “alten” Transaktionen angegeben, in neuen Releasen muss teilweise noch ein “old”ergänzt werden, da der Aufruf sonst zum DBACOCKPIT führt (z.B. DB02OLD).

Verwandte Beiträge

ORA 28011 z.B. beim Anmelden mit dem SYSTEM AccountSAP Oracle Listener startet nichtTablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS

142 / 279

rz10.de - die SAP Basis und Security Experten

Performance Analysen im BW – ein erster Ansatzvon Timm Funke - Beitrag vom 29. Januar 2011

In diesem Beitrag geht es um die ersten Schritte zur Performance Analyse in einem BW System.Vieles kann natürlich auch für ERP Systeme betrachtet werden.

Performance Engpässe in einem SAP BW System liegen aus meiner technischen Sicht natürlich eher

in der Applikation

Um das der Anwendungsbetreuung auch zu dokumentieren, können die folgendenSchritte hilfreich sein.

Zuerst schauen wir in der st03n

Hier sind folgende Aspekte zu beachten:

Proc. Time ist eine berechnete ZeitRFC ist wichtig für BEx QueriesWenn Proc. Time = ein Vielfaches der CPU, dann deutet das auf einen CPU Engpass hinDie mittlere Wartezeit sollte zwischen 1 und 10 % der durchschnittlichen Antwortzeitbetragen => sonst liegt ein allgemeines Performance Problem vor. Ausgelöst eventuell durchnicht genügend Workprozesse. Für den Anwender bedeutet das lang laufende TransaktionenDie mittlere DB Zeit sollte nicht mehr als 40 – 45 % der Antwortzeit betragen. Alles anderekönnte seine Ursache in DB Problemen (z.B. auch CPU Engpass auf dem DB Server) oderNetzwerkproblemen (zwischen Appl. Und DB Server) haben

GUI Zeit sollte bei < 250 ms liegen => sonst NW Engpass oder Probleme auf demPräsentationsserver

143 / 279

rz10.de - die SAP Basis und Security Experten

In diesem Beispiel ist die Durchschnittliche Wartezeit kleiner als 50 ms, damit liegt keinallgemeines HW Problem bezüglich der Performance vor.

Tauchen in den Hitlisten (Ranking List) SAPMHTTP Aufrufe auf, so können das BW QueriesseinWenn man dann einen Doppelklick auf einen Eintrag macht, dann bekommt man die alleZeiten zu dem Workprozeß angezeigt:

144 / 279

rz10.de - die SAP Basis und Security Experten

^

Hier schaut man auch wieder auf die durchschnittliche Wait Time, ist diese zu hoch, stehennicht genügend Ressourcen zur Verfügung (CPU)

Diese Übersicht könnte der erste Schritt sein, wenn Performance Engpässe in einem BW Systemauftauchen.

Natürlich gibt es noch viele weitere Aspekte, z.B. Einstellungen auf dem DB Server, PerformanceAspekte innerhalb der DB etc.. Auf diese werde ich in weiteren Beiträgen eingehen.

Verwandte Beiträge

Wichtige Transaktionen für Performance UntersuchungenPerformanceoptimierung der SAP BW LandschaftSAP Speichermodell in Windows Umgebungen

145 / 279

rz10.de - die SAP Basis und Security Experten

146 / 279

rz10.de - die SAP Basis und Security Experten

PI-Komponenten fehlen im SLDvon Timo Eckhardt - Beitrag vom 21. Oktober 2014

Es kann vorkommen, dass einige der PI-Komponenten nicht mehr im PI registriert sind. Das kann zuFehlern in der Nachrichtenverarbeitung führen oder verursachen, dass die Runtime Workbench nichtkorrekt funktioniert.

Kontrolliert werden kann die Konfiguration an folgender Position im System Landscape Directory(SLD):

http:<Hostname>:<Port>/sld -> Technische Systeme -> Process Integration

147 / 279

rz10.de - die SAP Basis und Security Experten

Hier sollten mindestens folgende sechs Komponenten der PI vorhanden sein:

Domain, Integration Repository, Integration Directory, RWB (Runtime Workbench), Adapter Engine,Integration Server

Sobald hier eine PI-Komponenten fehlt, kann es zu Problemen bei der Nachrichtenverarbeitungkommen.

PI-Komponente löschen

Jede Komponente muss der zugehörigen Domäne zugeordnet sein, der Name der Domäne muss inder Spalte “Domäne” angezeigt werden.

Der Integration Server sowie die Domain sind elementare Komponenten, die nicht einfach gelöschtwerden sollten. Diese registrieren sich nicht durch einen einfachen Restart neu. Daher löschen Siebitte nicht versehentlich den Integration Server. Für Inkonsistenzen mit dem Integration Serververweise ich auf einen Blogbeitrag, der sich damit auseinander setzen und in Kürze erscheinen wird.

SLD-Registrierung von PI-Komponenten auslösen

Um die Registrierung einer PI-Komponente auszulösen, müssen Sie die zugehörige Anwendung neustarten. Navigieren Sie im SAP NetWeaver Administrator zur Oberfläche zum Starten/Anhalten:

http:<Hostname>:<Port> –> SAP NetWeaver Administrator –> Operation Management –> Systems–> Start&Stop –> Java EE Applications

An dieser Stelle wählen Sie die entsprechende Anwendungen aus um eine Neuregistrierung durcheinen Restart der Komponente auszulösen.

• com.sap.xi.directory (Integration Builder/Configuration)

• com.sap.aii.af.app (Adapter-Engine)

• com.sap.xi.rwb (Runtime Workbench)

• com.sap.xi.repository (Integration Builder/Design)

Das Directory und Repository wird durch einen Aufruf der Startseite im SLD registriert:

148 / 279

rz10.de - die SAP Basis und Security Experten

http://<host>:<port>/dir

http://<host>:<port>/rep

Falls Sie ähnliche Probleme im SLD haben und ihnen diese Lösungen nicht weiterhelfen konnten,interessiere ich mich auf welche Fehler Sie gestoßen sind.

Zum Schluss finden Sie im nachfolgenden Link noch einen nützlichen SAP Hinweis:1117249 – Unvollständige Registrierung von PI-Komponenten in SLD

Verwandte Beiträge

SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PISAP Basis und SAP Security Berater von RZ10 buchenCIM-Modell aktualisieren (cimsap & crdelta)Kontrolleurzuordnung kann nicht gelöscht werden

149 / 279

rz10.de - die SAP Basis und Security Experten

Pseudo Sprachinstallation im SAP BWvon Timm Funke - Beitrag vom 2. Februar 2011

Unter Umständen können gesetzliche Bestimmungen dazu führen, das BW Reports (z.B. für diverseAufsichtsbehörden) in der entsprechenden Landessprache verfasst sein müssen.

Wenn man nun diese Sprache ansonsten nicht zwingend benötigt und deshalb nicht installierenmöchte, kann man folgenden Workaround nutzen:

1. zcsa/installed_languages im Defaultprofil um den Wert “X” (X jeweils für die benötigteSprache) erweitern

2. zcsa/second_language = E im Defaultprofil3. Mit dem Report RSCPINST die NLS-Einstellungen um den Wert für die Sprachte (z.B. “PT” für

Portugiesisch) ergänzen4. In der SMLT die Sprache (wieder das Beispiel: Portugiesisch) mit Auffüllsprache Englisch

klassifizieren.

Wenn man sich nun in der “neuen” Sprache (z.B.Portugiesisch) anmeldet, erscheint das Menü inEnglisch und man kann portugiesische Texte eingeben.Wichtig ist allerdings, dass bei einem Upgrade in der Phase LANG_SELECT die Sprache(z.B.Portugiesisch) abgewählt wird. Andernfalls würden die (portugiesischen) Sprachanteile desUpgrades importiert. Außerdem muss nach dem Upgrade die Sprachklassifikation wiederholt werden.

Verwandte Beiträge

URLs für Web Dynpro werden nicht mehr korrekt generiertSprachpakte in SAP aktivieren - select one of the installed languages

150 / 279

rz10.de - die SAP Basis und Security Experten

SAP Archiv - SAR-Datei mit SAPCAR entpackenvon Tobias Harmes - Beitrag vom 12. Juli 2013

Dieser Beitrag beschreibt wie ein SAP Archiv (.SAR-Datei) entpackt wird.Konkreter Fall: Auf einem System soll eine Erweiterung eingespielt werden und es ist notwendig dazueine von SAP ausgelieferte .SAR-Datei zu entpacken um den Inhalt nutzen zu können.

Die SAR-Datei ist ein Archiv-Format von SAP für die Auslieferung von verschiedenen Packages. Umden Inhalt des Paketes nutzen zu können muss dieses in der Regel vorher entpackt werden.

Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Download von SAPCAR

Die SAP bietet ein eigenes Programm SAPCAR, welches im SAP Software Download Centerheruntergeladen werden kann. Zu finden ist es unter:

Support Packages and Patches >> A – Z Index >> S >> SAPCAR >> SAPCAR 7.20

Das SAP Archiv entpacken

Auf einem Windows-System erfolgt die Extraktion des Paketinhaltes innerhalb der Konsole. Zuerstnavigiert man zum Ordner in dem das SAR Archiv liegt. An dieser Stelle den folgenden Befehlausführen:

C:> sapcar.exe -xvf <Pfad zum Archiv *****.sar> -R <Pfad zum Ziel>

Beispiel SAP Host Agent

Um den SAP Host Agent manuell zu aktualisieren wird das entsprechende SAP Archiv mit SAPCAR

151 / 279

rz10.de - die SAP Basis und Security Experten

entpackt. Unter Windows werden die Befehle im Command Prompt ausgeführt. In diesem Beispielnutze ich SAPCAR vom Host Agent und navigiere dort hin. Das SAP Archiv für den Host Agent liegt indiesem Fall in einem temporären Ordner auf C:\. Daraus ergibt sich folgender Befehl um das SAPArchiv zu entpacken:

sapcar.exe -xvf C:\temp\SAPHostAgent\SAPHOSTAGENT155_155-20006834.SAR -RC:\temp\SAPHostAgent\

Der Parameter -R sorgt für die Ausgabe im Command Prompt, welche Dateien des SAP Archiventpackt werden.

So einfach geht es. Ich hoffe ich konnte euch damit helfen und freue mich über Feedback.

Verwandte Beiträge

SAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master

152 / 279

rz10.de - die SAP Basis und Security Experten

153 / 279

rz10.de - die SAP Basis und Security Experten

SAP Benutzertypen richtig verwendenvon Tobias Harmes - Beitrag vom 16. März 2012

Vielen Kunden fällt es schwer den geeigneten SAP Benutzertypen zu wählen. Insbesondere für RFC-Verbindungen werden die möglichen Benutzertypen oft verwechselt bzw. nicht optimal ausgewählt.

Hier eine Tabelle mit den Benutzertypen und deren Eigenschaften:

Eigenschaft Dialog Kommunikation System ServiceGUI Anmeldung Ja Nein Nein JaRFC Anmeldung Ja Ja Ja JaErzwingung derKennwortänderung

Ja Ja Nein Nein

Kennwortablauf Ja Ja Nein NeinAnmeldeticketkannerzeugt werden

Ja Ja Nein Nein

Typische Probleme in diesem Umfeld:

Es werden Benutzer vom Typ Service als technische User für Nicht-Dialog-VerbindungenbenutztDiese vermeintlichen “Dienste”-User haben oft weitreichende Berechtigungen bis hin zuSAP_ALL. Allerdings können diese User auch von jemand via SAPLOGON genutzt werden. Dasie keiner Passwortrichtlinie unterliegen, sind sie maximal für Notfall/Admin-User geeignet.

Ein Benutzer vom Typ Service kann kein Single Sign On verwendenDa für diesen Benutzertyp keine Anmeldetickets erzeugt werden, funktioniert auch kein SSO.

Benutzer vom Typ Kommunikation werden für RFC-Verbindungen genutztDer Typ Kommunikation ist für Benutzer gedacht, die einen alternativen Client via RFCverwenden. Da sie der Passwortrichtlinie unterliegen sollte man dringend Benutzer vom TypSystem verwenden. Vor allem im Solution Manager Umfeld treten immer wieder abgelaufeneKennwörter für automatisch generierte Benutzer vom Typ “Kommunikation” auf.

Wie kann ich Benutzer eines bestimmten Typs ermitteln?

Dabei hilft das Benutzerinformationssystem, Transaktion SUIM, Benutzer>nach Anmeldedatum undKennwortänderung (By logon date und password change)

154 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Links zum Thema:

Hinweis 327917 – Neue Benutzertypen ab Release 4.6C

Verwandte Beiträge

Anmeldesprache für SAP Dialogbenutzer festlegenSAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PIZusätzliche Filter bei der SUIM-Abfrage hinzufügenÜberprüfung der SAP Standardbenutzer auf InitialkennwortSAP Basis und SAP Security Berater von RZ10 buchen

155 / 279

rz10.de - die SAP Basis und Security Experten

SAP Emailversand einrichten und testenvon Tobias Harmes - Beitrag vom 1. Juni 2012

Immer mal wieder nötig, hier eine kurze Anleitung:

Die wichtigsten Transaktionen:

SCOT – SAPconnect Administration / SMTP Konfiguration

SOST – Übersicht Sendeaufträge

1. Mailserver ermitteln: es werden Hostname/IP und SMTP-Port benötigt, in der Regel Port 25

2. In die Transaktion SCOT gehen und Doppelklick auf den SMTP Knoten machen. Dabei beachten:die SCOT ist mandantenabhängig.

Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

156 / 279

rz10.de - die SAP Basis und Security Experten

Als Adressbereich “*” auswählen, damit dieser Knoten für alle email-Adressen verwendet wird.

3. Default domain setzen, z.B. mindsquare.de

4. Trace setzen

157 / 279

rz10.de - die SAP Basis und Security Experten

5. In der SU01 seine eigene email-Adresse hinterlegen (und für jeden, der auch Mails versenden will)

6. Testmail versenden über SO01 oder SBWP

7. In die Transaktion SCOT wechseln, dort sollte die Mail bereits warten. Dort den Sendeprozessstarten, damit die Queue abgearbeitet wird.

158 / 279

rz10.de - die SAP Basis und Security Experten

Den Trace kann man auf Wunsch direkt anzeigen oder später in der Transaktion SOST auswerten.

8. Wenn alles sauber läuft, kann man über die SM36 den RSCONN01 einplanen. Der startet dannregelmäßig den Sendeprozess und arbeitet die Mails aus der Queue ab. Wenn es einen Fehler gibt,dann kann man in der Transaktion SOST den Trace prüfen.

Übrigens: Empfängerauthentisierung (“550 must be authenticated”) und erzwungeneVerschlüsselung machen in der Regel einen Zwischenstopp über zum Beispiel ein internes Mailrelaynotwendig. Diese Sicherheitsmechanismen sind leider noch nicht im SAP Standard angekommen.

Weiterführende Informationen:

Hinweis 455140 – Konfiguration Email,Fax,Paging/SMS über SMTP

Hinweis 607108 – Problemanalyse beim Versand oder Empfang von Emails

Verwandte Beiträge

Netzwerkverbindungen aus dem SAP testenSAP Portal - UI Elemente für SAP IDM erstellen und mit Rollen verbinden (How-to)CCMS-Alerts per E-Mail erhaltenAuthentifizierung und Verschlüsselung beim E-Mail-VersandSAP Basis und SAP Security Berater von RZ10 buchen

159 / 279

rz10.de - die SAP Basis und Security Experten

160 / 279

rz10.de - die SAP Basis und Security Experten

SAP Kernel Update durchführenvon Tobias Harmes - Beitrag vom 25. Juni 2014

“Ähnlich einem Betriebssystem besitzt das SAP-System einen Kern, das zentrale Modul, das dieauszuführenden Aufgaben (z. B. wenn ein Benutzer ein ABAP-Programm ausführt) auf freieRessourcen (Workprozesse) verteilt, den Speicher verwaltet und andere Basisdienste leistet. Er bildetdie Schnittstelle zwischen dem zugrundeliegenden Betriebssystem und den SAP-Anwendungen. DerSAP-Kernel ist ein eigener Prozeß (disp+work), der jeder SAP-Instanz zugrunde liegt.”

Und genau wie bei einem Betriebssystem, sollte auch der Kernel immer auf dem neusten Stand sein.So werden zum Beispiel Korrekturen am Kernel vorgenommen, die die Stabilität des SAP Systemsdurch Performance-Optimierung oder die Beseitigung von Fehlern sicherstellen. Des Weiteren sindauch viele Basisfunktionalitäten im SAP Kernel enthalten (wie das Security Audit Log), die durch einUpdate positiv beeinflusst werden. Die genauen Verbesserungen, die jede Kernelversion mit sichbringt, können Sie in den dazugehörigen SAP Hinweisen nachlesen.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

HowTo zum Download (5 Seiten, Lesezeit ca. 10min)

161 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

HowTo Konfiguration von Adobe Document Services (ADS - SAP)Fehler "unable to save the local file information" im SAP Download ManagerSUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“SAP Basis und SAP Security Berater von RZ10 buchen

162 / 279

rz10.de - die SAP Basis und Security Experten

SAP Management Console lässt sich nicht mehr starten – JavaProblemvon Timo Eckhardt - Beitrag vom 30. Mai 2014

Die SAP unterstützt laut eigener Aussagen bestimmte Java 1.7 Versionen nur eingeschränkt oder garnicht. Aus eigener Erfahrung bringt der Einsatz von Java 1.7.xx einige Stolpersteine mit sich, weshalbman bevorzugt noch die Java Version 1.6.xx nutzen sollte. Für den Fall, dass man doch Java 1.7.xxnutzen muss/möchte werde ich hier beschreiben, wie man die Management Console mit Java 1.7zum Laufen bekommt.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Beim Öffnen der SAP Management Console über das jeweilige System http://<hostname>:<Port>13

Erscheint eine der folgenden Fehlermeldungen:

“Anwendung durch Sicherheitseinstellungen blockiert”

163 / 279

rz10.de - die SAP Basis und Security Experten

“Die Anwendung kann nicht ausgeführt werden”

“Anwendung kann nicht gestartet werden” – “ungültige Argumente angegeben – invalid Arguments”

164 / 279

rz10.de - die SAP Basis und Security Experten

Eine Variante wäre das gesamte SAP System auf den neusten Stand zu bringen.

Ich möchte hier die Variante vorstellen, in der man die SAP Management Console einzeln auf denneusten Stand bringt um damit die SAP MMC wieder nutzen zu können.

Software Download Center im SAP Net

Dann lädt man sich die entsprechenden neusten Ressourcen der SAP Management Console herunterunter:

165 / 279

rz10.de - die SAP Basis und Security Experten

Download –> Support Packages and Patches –> Browse our Download Catalog –> AdditionalComponents –> SAP Kernel –> SAP KERNEL <32/64-BIT/Unicode> (je nach Ihrer Plattform bzw.System) –> SAP KERNEL 7.20 <32/64-BIT> –> <Betriebssystem> –> Database Independent.

Dort lädt man die entsprechenden Dateien mit dem Präfix “sapmc” herunter und entpackt diese mitSAPCAR auf Filesystemebene. Hierbei wird das Verzeichnis sapmc und deren Inhalt benötigt.

Nun navigiert man in das entsprechende Verzeichnis auf dem jeweiligen SAP System, wo dieveraltete SAPMMC executables ($(DIR_EXECUTABLE)/servicehttp) liegen:

z.B. /usr/sap/<SID>/SYS/exe/uc/<BS_Version>/servicehttp

Hier muss das alte Verzeichnis als Backup umbenannt werden und durch das extrahierte Verzeichnisersetzt werden.

Nach einem Restart wird nun die neue SAP Management Console aktiv, die nun auch auf ClientRechnern mit Java 1.7.xx läuft.

1014480 – SAP Management Console (SAP-MC)1792095 – Supportability of Java 1.7 with PI Integration Builder client tools 1764895 – Java Web Start kann signierte JAR-Dateien nicht verifizieren 1598282 – XI/PI:Neue Zertifikate zum Signieren von Jar-Dateien ab 2011 929144 – XI/PI:Jar-Dateien mit unterschiedl. Zertifikavten signiert

166 / 279

rz10.de - die SAP Basis und Security Experten

Welche Erfahrungen haben Sie mit der SAP Management Console gemacht? Ich freue mich auf IhrFeedback.

Verwandte Beiträge

SAP Basis und SAP Security Berater von RZ10 buchenSAP Heartbleed: Kein OpenSSL - kein Problem?

167 / 279

rz10.de - die SAP Basis und Security Experten

SAP Oracle Listener startet nichtvon Timo Eckhardt - Beitrag vom 7. Juni 2013

Der SAP Oracle Listener, der für die Verbindung zwischen SAP/JAVA Instanz und Datenbankverantwortlich ist, startet nicht mehr. Das verursacht Probleme beim Starten/Herunterfahren mitHilfe des startsap und stopsap Scripts.

Der Listener ist erforderlich für die Kommunikation zwischen Datenbank und SAP/Java System. DerListener sollte als Datenbankuser (ora<SID>) gestartet werden können. Ist das Starten des Listenersnicht mehr möglich, fährt das SAP System / Java Instanz nicht mehr hoch. Diese Problemlösungbezieht sich auf das Betriebssystem UNIX/Linux.

Um zu sehen ob der Listener gestartet ist führt man den Befehl lsnrctl status aus. Im konkreten Fallsahen die Fehlermeldungen dabei wie folgt aus:

TNS-12541: TNS:no listener TNS-12560: TNS:protocol adapter error TNS-00511: No listener

[…]TNS-00511: No listener Linux Error: 111: Connection refused

Möchte man den Listener mit dem Befehl lsnrctl start starten, erhält man folgende Fehler:

TNS-12555: TNS:permission denied TNS-12560: TNS:protocol adapter error TNS-00525:Insufficient privilege for operation[…]TNS-00525: Insufficient privilege for operation Linux Error: 1: Operation not permittedListener failed to start. See the error message(s) above…

Um den Fehler zu beheben muss folgendes sichergestellt beziehungsweise durchgeführt werden:

1. alle Listener mit dem User, der den Listener auch gestartet hat beenden (lsnrctl stop)2. die Verzeichnisse /tmp/.oracle und /var/tmp/.oracle müssen existieren3. im Verzeichnis /var/tmp/.oracle kann man sehen welcher User den Listener gestartet hat

srwxrwxrwx 1 <SID>adm sapsys 0 Apr 16 07:35 s<SID>.WORLD

srwxrwxrwx 1 <SID>adm sapsys 0 Apr 16 07:35 s<SID>

srwxrwxrwx 1 ora<SID> dba 0 Apr 16 07:35 s#3032.2

srwxrwxrwx 1 ora<SID> dba 0 Apr 16 07:35 s#3032.1

In diesem Fall hat der User <SID>adm den Listener gestartet und auch nur dieser kann denListener wieder beenden (lsnrctl stop).

168 / 279

rz10.de - die SAP Basis und Security Experten

4. Der Datenbankbenutzer (ora<SID>) hat die Berechtigungen auf die Ordner und alle derenUnterordner

Nachdem sichergestellt ist, dass der Listener unter keinem anderen User läuft, sollten keineDateien/Ordner unter /var/tmp/.oracle vorhanden sein. Jetzt kann man als ora<SID> User den SAPListener erfolgreich starten. Zur Kontrolle kann man die Dateien/Ordner im Verzeichnis/var/tmp/.oracle überprüfen, hier sollte als Owner überall der ora<SID> User sein.

ora<sid> > lsnrctl start LSNRCTL for Linux: Version 11.2.0.3.0 – Production on 15-APR-201310:50:56 Copyright (c) 1991, 2011, Oracle. All rights reserved. Starting/oracle/<SID>/112_64/bin/tnslsnr: please wait… […]

Service “<SID>” has 1 instance(s). Instance “<SID>”, status UNKNOWN, has 1 handler(s) forthis service… The command completed successfully

Welche Lösungsmöglichkeiten haben Sie bei Listener-Problemen entdeckt? Ich freue mich auf IhrFeedback.

Verwandte Beiträge

ORA 28011 z.B. beim Anmelden mit dem SYSTEM AccountÄndern der SAP Job Benutzerbrbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup setOracle-/DB Administration und Performance TransaktionenJ-Co Destination kann nicht gestartet werden

169 / 279

rz10.de - die SAP Basis und Security Experten

SAP Portal Anmelde-Popup beim Öffnen von MS Office-Dateienvon Dominik Busse - Beitrag vom 16. Dezember 2013

Ein im SAP NetWeaver Portal angemeldeter Anwender möchte im SAP Knowledge ManagementDokumente öffnen. Wenn es sich um Microsoft Office-Dateien handelt, erscheint bei jedem Zugriffeine erneute Authentifizierungsaufforderung (Basic Authentication).

Um die erneute Authentifizierungsaufforderung beim Öffnen von Microsoft Office-Dateien verhindern,gehen Sie wie folgt vor:

1. Navigieren Sie via Content Administration -> Portal Content in die Portal-Content-Verwaltung2. Innerhalb der Portal-Content-Verwaltung navigieren Sie zum Portal Content -> Von SAP

bereitgestellter Content -> Content für Endbenutzer -> Standardportalbenutzer -> iViews ->com.sap.km.iviews -> URL-Zugriff -> KM-Dokument-iView

170 / 279

rz10.de - die SAP Basis und Security Experten

3. Öffnen Sie KM-Dokument-iView zum Bearbeiten4. Wechseln Sie von der einfachen Ansicht auf Alle.5. Setzen Sie den Wert der Eigenschaft AuthScheme auf default.6. Speichern Sie die Einstellungen.

Nachdem Sie diese Einstellung übernommen haben, können Sie Microsoft Office-Dateien im SAPNetWeaver Portal öffnen, ohne bei jeder Office-Datei erneut zur Authentifizierung aufgefordert zuwerden.

Ich freue mich auf Ihr Feedback und hoffe Ihnen mit dieser Anleitung geholfen zu haben.

Den offiziellen SAP-Hinweis finden Sie unter: http://service.sap.com/sap/support/notes/1628343

Verwandte Beiträge

Fehler bei der Einrichtung von SSO zum Portal mit SPNEGOAbsolute Hyperlinks in Excel 2010SAP NetWeaver Identity Management (IDM) Fehlerbehandlung für PowerShell Aufrufe

171 / 279

rz10.de - die SAP Basis und Security Experten

172 / 279

rz10.de - die SAP Basis und Security Experten

SAP RFC ADS Verbindung funktioniert nicht - Fehler Targetservice not allowedvon Silvia Scholer - Beitrag vom 8. Januar 2014

Wenn die Adobe Document Services (ADS) genutzt werden sollen, muss eine http-Verbindungeingerichtet werden. Hierfür die Transaktion SM59 aufrufen und die ADS Verbindung (BezeichnungADS) bearbeiten oder neu erstellen:

Besteht eine Verbindung bereits, kann per Doppelklick in die Verbindung abgesprungen werden. Esgilt safety first. Am besten ein Backup der aktuellen Konfiguration erstellen.

Nun werden die Felder wie folgt editiert:

173 / 279

rz10.de - die SAP Basis und Security Experten

Als Verbindungstyp wird “G” angegeben für eine HTTP-Verbindung

Als Zielmaschine wird das System eingetragen, auf dem der ADS zur Verfügung stehen soll

Der Pfadpräfix lautet: /AdobeDocumentServices/Config?style=rpc

174 / 279

rz10.de - die SAP Basis und Security Experten

Da der ABAP-Stack mit dem Java-Stack über den ADSUser kommuniziert, wird als Benutzer derADSUser gewählt. Falls dieser noch nicht existiert muss er über die Transaktion SU01 angelegtwerden.

Zur Überprüfung der Erreichbarkeit führen wir anschließend einen Verbindungstest aus:“Verbindungstest” ausführen

Es wird der Status “Target service not allowed” angezeigt.

175 / 279

rz10.de - die SAP Basis und Security Experten

Das Problem liegt darin, dass das System einen Proxy verwendet.

Für den Server muss deshalb eine Proxy-Ausnahme definiert werden. Über die Transaktion SICF kanndiese Definition vorgenommen werden.

176 / 279

rz10.de - die SAP Basis und Security Experten

Bei den Filtereinträgen wird der Server eingetragen, für den die Proxy-Einstellung nicht geltensoll. Damit werden für diesen Server die Proxy-Einstellungen umgangen.

Zur Überprüfung der Erreichbarkeit führen wir anschließend erneut einen Verbindungstest aus:“Verbindungstest” ausführen. Interessanterweise sagt der SAP-Einrichtungsleitfaden, dass hier einFehler erscheint, der allerdings laut Hinweis 1177315 ignoriert werden kann. So auch in unseremFall:

177 / 279

rz10.de - die SAP Basis und Security Experten

Nun muss dem Portal noch das System bekannt gemacht werden.

Anschließend können als Konfigurationstest über die Transaktion SA38 die nachfolgenden drei Jobsausgeführt werden.

FP_TEST_00

FP_PDF_TEST_00 -> Es werden Versionsinformationen angezeigt

Ab NetWeaver Release 7.0 muss zusätzlich das Programm FP_CHECK_DESTINATION_SERVICEerfolgreich laufen

FP_CHECK_DESTINATION_SERVICE -> Es werden die übertragenen Bytes angezeigt

Laufen alle Jobs erfolgreich durch, so ist die RFC-Verbindung hergestellt.

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

HowTo Konfiguration von Adobe Document Services (ADS - SAP)ABAP-Webservices mit dem SOA-Manager anlegen

178 / 279

rz10.de - die SAP Basis und Security Experten

179 / 279

rz10.de - die SAP Basis und Security Experten

SAP Speichermodell in Windows Umgebungenvon Timm Funke - Beitrag vom 29. Januar 2011

Für Performance Untersuchungen ist es natürlich von großer Bedeutung, dass SAP Speichermodellvor Augen zu haben. Nur dann ist eine entsprechende Einordnung der SAP Parameter und dergemessenen Werte aus den entsprechenden Transaktionen möglich. Zur Veranschaulichung solldieser Beitrag dienen, der das SAP Speichermodell in Windows Umgebungen darstellt.

FLAT Memory Model

Memory Management Windows / SAP => Kernel 7.00

Das Flat-Speichermodell wird mit dem 64-Bit-Windows zur Verfügung gestellt. Dieses Modell benötigtweniger CPU, aber mehr Speicherplatz.Es wird mit dem folgenden Profilparameter aktiviert:es/implementation = flatMit dem Flat-Speichermodell werden alle Benutzerkontexte dauerhaft in allen Workprozessenzugeordnet. Ressourcenintensive Aufrufe, die ein Prozess-Working-Set modifizieren, werden nichtausgeführt und proaktives Auslagern tritt ebenfalls nicht auf.Dieses Verhalten wird als sehr positiv gewertet, solange die Kontexte in den physischen Speicherpassen. Sobald die größer werdenden Prozess-Working-Sets durch das Betriebssystem beschränktwerden, könnte der Seitenwechsel die Performance sehr beeinträchtigen, da das Betriebssystemzwischen den verwendeten und nicht verwendeten Kontexten nicht unterscheiden kann.

Die Kontexte, die am längsten im System sind, werden als erstes ausgelagert. Wie viel Speicherzusätzlich benötigt wird, ist benutzerspezifisch und hängt davon ab, wie lange und wie viele Benutzerinaktiv sind. SAP rechnet zunächst mit über 30 % mehr physischen Speicher.

180 / 279

rz10.de - die SAP Basis und Security Experten

Mit dem Seitenschutz wird sichergestellt, dass die verschiedenen Benutzerkontexte vor Missbrauchin anderen Kontexten geschützt sind. Die Seiten, die zum aktuell ausgeführten Benutzerkontextgehören, zählen allerdings nicht dazu. Windows erzeugt einen beträchtlichen Overhead an CPU-Verbrauch beim Schützen der Seiten. Um wirklich vom Flat- Speichermodell zu profitieren, könnender Speicherschutz mit dem folgenden Parameter deaktiviert werden:es/use_mprotect = false

Dies ist nicht für Produktiv-Systeme empfohlen, da der SAP Support ein geschütztes Speichermodellbenötigt. Wird der Speicherschutz deaktiviert und treten Probleme auf, die sich auf überschriebeneSpeicherbereiche beziehen, kann der SAP Support die Ursache nicht im Detail analysieren.Ein typisches Szenario für das ungeschützte Flat-Speichermodell ist die Operation in einervirtualisierten Umgebung. Da die Performance der virtualisierten Umgebung sehr sensibel auf dieAnzahl der Systemaufrufe reagiert, reduziert das ungeschützte Flat- Speichermodell das Laden aufESX beträchtlich.

Zero Management Model

Memory Management Windows / SAP < Kernel 7.00

Das klassische SAP-Speichermodell auf Microsoft Windows wurde für die 32-Bit-Adressierungentwickelt. Der gesamte Speicher, der für die ABAP-Transaktion benötigt wird (“Benutzerkontext”),wird in einer memory mapped file gespeichert. Der Benutzerkontext wird einem Workprozessbeigefügt, wenn die Transaktion ausgeführt wird, und am Ende der Transaktion entkoppelt, wenn dieAusgabe an die Benutzeroberfläche gesendet wird.

Im Folgenden werden die Vorteile des klassischen Modells erläutert:

Jeder Benutzer kann den Adressbereich des Prozesses vollkommen ausnutzen. Hierbei wirdjedoch vorausgesetzt, dass der maximale Benutzeradressbereich 3 GB beträgt und Sie nochSpeicherplatz für das Coding und die Shared Buffer reservieren müssen. Außerdem haben Sieca. 2 GB für den Benutzerkontext zur Verfügung.Ausschließlich die regelmäßig verwendeten Kontexte verbleiben im Speicher. Das Windows-Betriebssystem verschiebt die Seiten, die von einem Prozess entkoppelt wurden, in diemodifizierte Seitenliste. Die ältesten Seiten dieser Liste werden ausgelagert.

181 / 279

rz10.de - die SAP Basis und Security Experten

Der Nachteil des klassischen Modells besteht darin, dass die Betriebssystemaufrufe wie z. B.MapViewOfFile() sehr ressourcenintensiv sind, da die Prozessseitentabelle neu organisiert werdenmuss. Dieser Vorgang beansprucht außerdem einen kritischen Bereich innerhalb von Windows, indem die Prozesse insbesondere auf den Multi-CPU-Servern serialisieren könnten.

Weitere Informationen über die verschiedenen SAP Speichermodelle auf Windows Betriebssystemenenthält der SAP Hinweis # 1002587 – Flat-Speichermodell auf Windowsund der SAP Hinweis # 88416 – Zero Administration Memory Management ab 4.0A/ Windows.

Verwandte Beiträge

Performance Analysen im BW – ein erster AnsatzWichtige Transaktionen für Performance UntersuchungenPerformanceoptimierung der SAP BW LandschaftBetriebssystembefehle via Transaktion ausführen

182 / 279

rz10.de - die SAP Basis und Security Experten

SAP ST03N Änderung der Aufbewahrungszeit von genutztenTransaktionenvon Silvia Scholer - Beitrag vom 6. Dezember 2013

Die Daten für die SAP ST03N (Systemlastmonitor, Workload Monitor) werden standardmäßig 3Monate gesammelt und gespeichert. Oftmals ist es aber gewünscht, dass die Daten für einenlängeren Zeitraum gespeichert werden. Zum Beispiel, wenn man im Zuge vonBerechtigungsprojekten die in der Vergangenheit genutzten Transaktionen analysiert. Um dieAufbewahrungszeit zu verlängern, müssen folgende Schritte durchgeführt werden.

Aufruf Transaktion ST03N

Für Systeme ab Release 700:

Kollektor & Performance Datenbank -> Performance-Datenbank -> Workload Kollektor Datenbank ->Reorganization -> Steuerung

183 / 279

rz10.de - die SAP Basis und Security Experten

Die gewünschten Einstellungen können hier vorgenommen werden. Nach dem Speichern werden dieDaten für die angegebene Zeit aufbewahrt.

Für ältere Systeme können die Einstellungen durch folgenden Pfad vorgenommen werden:

Kollektor & Performance Datenbank -> Performance-Datenbank -> Monitoring Datenbank ->Reorganization

184 / 279

rz10.de - die SAP Basis und Security Experten

Der entsprechende Hinweis dafür:

6833 – Löschen der Statistikdatei, Größe d. Statistikdatei

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

Wichtige Transaktionen für Performance UntersuchungenGenutzte Transaktionen aus dem SAP Workload Monitor ST03N exportieren

185 / 279

rz10.de - die SAP Basis und Security Experten

SAP Systeme deinstallieren mit dem SAP Software ProvisioningManagervon Tobias Harmes - Beitrag vom 4. Mai 2013

Mein Kollege Tobias Harmes hat in seinem Blogbeitrag “SAP Solution Manager 7.1 sapinst – SPManstelle Installation Master” anhand des SAP Solution Managers 7.1 gezeigt, dass die SAPzunehmend den SAP Software Provisioning Manager zur Installation ihrer Produkte verwendetanstelle des altbekannten Installation Masters.

Aber auch bei der Deinstallation von SAP Systemen kommt der SAP Software Provisioning Managerzum Einsatz.

Um ein SAP System zu deinstallieren, führt man den SAP Provisioning Manager aus, als wolle maneine Installation durchführen. Unter dem Punkt “Generic Installation Options” werden dieDeinstallationsroutinen geführt. Das Besondere an dieser Stelle gegenüber der Installation über denSAP Software Provsioning Manager ist der, dass die Deinstallationsroutinen unabhängig vominstallierten SAP System funktionieren. Lediglich über die Art der Datenbank wird eineUnterscheidung getroffen.

In dem Beispiel aus der Abbildung, handelt es sich um ein SAP System auf Basis eine MaxDB.

Nachdem man in Schritt 2 “Define Parameters”, unter Hilfestellung des SAP Software ProvisioningManagers, weitere Angaben zum SAP System vorgenommen hat, werden in einer Übersicht dieEckdaten des zu deinstallierenden Systems noch einmal aufgeführt. Einen Auszug einer solchenÜbersicht können Sie der folgenden Abbildung entnehmen.

186 / 279

rz10.de - die SAP Basis und Security Experten

Über “Next” gelangen Sie dann in Schritt 4, in dem die Deinstallation durchgeführt wird.

Wie sind Ihre Erfahrung mit Deinstallationen im SAP Umfeld? Haben Sie evtl. sogar schon eineDeinstallation auf diesem Weg durchgeführt? Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“Sprachpakte in SAP aktivieren - select one of the installed languages

187 / 279

rz10.de - die SAP Basis und Security Experten

SAP Transport Status zurücknehmenvon Tobias Harmes - Beitrag vom 26. März 2014

Das Transportwesen ist essentieller Bestandteil im SAP Umfeld und gehört in den Bereichen desCustomizings bzw. der Entwicklung zum Tagesgeschäft. Ein SAP Transport mit mehreren Beteiligtenund damit mehreren Transportaufgaben ist keine Seltenheit. Doch wie gehen Sie damit um, wenneine Transportaufgabe fälschlicherweise freigegeben wurde oder Inhalte in einem falschenTransportauftrag erfasst und freigegeben werden? Die Transportaufgabe ist durch die Freigabegesperrt und kann aus dem Transportauftrag nicht mehr entfernt werden. Evtl. wollen Sie auch denganzen Transportauftrag löschen. Auch diese Option bleibt Ihnen verwehrt, sobald Aufgaben im SAPTransport freigegeben sind. Die Standardvorgehensweisen sind sehr umständlich und kosten nichtnur viel Zeit, sondern besitzen auch ein gewisses Risikopotential.

Wenn Ihnen das bekannt vorkommt, wird Ihnen der folgende Trick die Arbeit an dieser Stelleerleichtern.

Die SAP liefert im Standard einen Report mit aus, der für genau diese Szenarien zum Tragen kommt,nämlich der Report RDDIT076.

Die Ausgangssituation könnte so ähnlich aussehen, wie auf der folgenden Abbildung.

Starten Sie nun im ersten Schritt den Report über die Transaktion SA38. Sie gelangen daraufhin aufeinen Selektionsbildschirm, in dem Sie den Transportauftrag bzw. die Transportaufgabe eingebenkönnen. In diesem Beispiel wurde der Transportauftrag angegeben.

Nachdem Sie die Eingabe bestätigt haben, gelangen Sie auf eine Übersichtsseite. Auf dieser könnenSie die zu ändernden Einträge einzeln markieren und sich die Details anzeigen lassen. Wechseln Sienun in den Bearbeitungsmodus und nehmen Sie zum Beispiel die Änderung des Status vor, um dieFreigabe rückgängig zu machen. Bestätigen und Speichern Sie zum Schluss die Änderungen.Natürlich können über diesen Report auch die anderen Eigenschaften des (SAP Transport-)Auftragsgeändert werden.

188 / 279

rz10.de - die SAP Basis und Security Experten

Wie Sie der Abbildung entnehmen können, ist die Transportaufgabe zurückgesetzt worden undbefindet sich wieder im Entwicklungsstatus.

Welche Reports haben Ihnen schon viel Zeit und Mühe erspart? Ich freue mich auf Ihre Antworten.

Verwandte Beiträge

TP Befehle zur TransportsteuerungTransportauftrag aus Importqueue löschenImporteinplanung von Transportaufträgen via STMSTransporteur zu SAP Transport ermittelnAusplanen eines eingeplanten Importauftrags

189 / 279

rz10.de - die SAP Basis und Security Experten

190 / 279

rz10.de - die SAP Basis und Security Experten

SAP User gesperrt: Analyse und Ursachenforschung amBeispiel XI/PIvon Timo Eckhardt - Beitrag vom 5. April 2013

Im SAP XI/PI sperrt sich nach einer Passwortänderung für einen technischen User der Benutzer(XIAPPL / PIAPPL USER) in regelmäßigen Abständen immer wieder selbst.

Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwendenmüssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafteKennwortanmeldung zu vermeiden. Hierfür dient folgender Hinweis als Hilfe, er zeigt auf an welchenStellen technische XI / PI User zum Einsatz kommen können und wo die Änderungen gepflegt werdenmüssen: https://service.sap.com/sap/support/notes/999962

Transaktion SU01 im R/3-SystemExchange ProfileSLDAPICUSTSM59-Destination INTEGRATION_DIRECTORY_HMISM59-Destination SAPXIPP*Data Supplier des SLD in der J2EEPMI-Store-Destination in der J2EERFC-Destinationen in der J2EEDestination in J2EE für die sichere Kommunikation zwischen ABAP und JavaSM59-Verbindungen für End-to-End-MonitoringSM59-Verbindungen für das GRMG-MonitoringVerbindungen von sendenden Business-Systemen

Wenn die Änderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immerauftritt, stellt sich die Frage

‘ Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen nochkommen? ‘

hierzu hilft folgender SAP Hinweis https://service.sap.com/sap/support/notes/1665838

Transaktion SM21 (Systemlog) ausführen

Zeitpunkt auswählen Zeitpunkt herum, an dem der User wahrscheinlich gesperrt wurde -> SysLogneulesen

191 / 279

rz10.de - die SAP Basis und Security Experten

Syslog anzeigen

Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt

Der Benutzer SAPJSF deutet darauf hin, dass der User “XIAPPLUSER” von einer JAVA-Anwendunggesperrt wird. SAPJSF ist ein interner UME Benutzer, der für die Kommunikation zwischen Java undABAP verantwortlich ist.

Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendemVerzeichnis befinden:/usr/sap/<SID>/<inst#>/j2ee/cluster/server#/log/system/httpaccess/responses*.trc

In aktuellsten der Dateien ist nun nach häufigem Auftreten von folgenden Fehlern zu suchen:

Unauthorized HTTP Responses im HTTP-Response-Protokol

[Mar 19, 2013 9:50:05 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95]

[Mar 19, 2013 9:50:07 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18]

[Mar 19, 2013 9:50:09 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27]

[Mar 19, 2013 9:50:11 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

[Mar 19, 2013 9:50:13 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

HTTP/1.1 401 weißt auf den Error 401 hin, der auf unautorisierten Zugriff schließen lässt. Mithilfe derIP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mitfalschen User Credentials aufzubauen. Es ist abhängig von der Systemkonfiguration, wann ein Usernach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche).

Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von

192 / 279

rz10.de - die SAP Basis und Security Experten

Benutzername und Kennwort über die URL “/sld/cimom” genutzt. Hierfür prüfen Sie die Einstellungendes CIM-Clients auf dem Host 11.22.33.44. Sie enthalten ein falsches Kennwort für XIAPPLUSER /PIAPPLUSER. Damit haben Sie den Übeltäter für die Benutzersperrung ausfindig gemacht und könnendie korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktierenSie uns, wir helfen Ihnen gerne.

Eine Möglichkeit die Abhängigkeiten anderer Systeme zu vermeiden besteht darin eineneigenen technischen User für jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSERzu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL<SYSID>/ PIAPPL<SYSID> erfolgen (z.B. XIAPPLABC für SID=ABC).

Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dassdie Kommunikation gestört wird.

Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemeingültigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt.

Referenzen SAP Notes

#999962 – PI 7.10: Ändern der Kennwörter von PI-Service-Benutzern

#1665838 – Ursache für Sperrung eines technischen PI-Benutzers herausfinden

#1493272 – Benutzer wird automatisch gesperrt

Verwandte Beiträge

Massensperren von Benutzern via SU10SAP Benutzertypen richtig verwendenJ-Co Destination kann nicht gestartet werdenPI-Komponenten fehlen im SLDIDoc Status manuell ändern

193 / 279

rz10.de - die SAP Basis und Security Experten

SAP-Stern freischalten - Notfallbenutzer SAP* in SAPNetWeaver aktivierenvon Andre Tenbuss - Beitrag vom 26. November 2014

Haben Sie sich schon einmal aus dem SAP System ausgeschlossen und nach einem Weg gesucht,den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*)? Möglicherweise kennen Siefolgendes Szenario: Im Rahmen der Vorbereitungen für eine Wartung sollen alle Benutzer in denProduktivmandanten gesperrt werden. Das ist z.B. mit Hilfe der SU10 schnell gemacht. Vergisst mannun z.B. den DDIC-Benutzer aus der Liste zu entfernen oder ist dieser beispielsweise durch zu vieleFalschanmeldungen gesperrt, dann ist man aus dem System ausgesperrt.

Es gibt zahlreiche Gründe, welche die Ursache für einen Mandanten ohne ungesperrten Benutzersein können. Im besten Fall lässt sich das Sperrkennzeichen bei einem Benutzer direkt aus derDatenbank löschen. Was ist aber zu tun, wenn die Kennwörter der Administrator-Benutzer nichtbekannt sind? Auch dafür gibt es einen Weg, welchen ich Ihnen heute gerne vorstellen möchte.

Mit dem Notfallbenutzer SAP* kann man sich an ABAP-Systemen anmelden, auch wenn alle Benutzergesperrt oder gelöscht wurden. Dieser Standardbenutzer ist im Programmcode des Systems definiertund verfügt über uneingeschränkte Zugriffsberechtigungen. Bevor Sie weitere Schritte versuchen,sollten Sie in jedem Fall testen, ob das Standardkennwort des Benutzers (PASS) funktioniert[Anmerkung: Aus Sicherheitsgründen sollten Sie die Standardkennwörter der Standardbenutzerdringend ändern!]

Der Kernel-Benutzer SAP* kann über einen Profilparameter aktiviert werden. Bei der Installationeines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt.

Es gibt zwei Schutzmechanismen:

1. Der Benutzer kann über Profilparameter aktiviert werden.2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden.

Nachfolgend wird beschrieben, welche Schritte Sie ausführen müssen, um den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*).

ProfilparameterUm den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf denWert 0 gesetzt werden. Dies kann bspw. über die Transaktion RZ10 ausgeführt werden. Das Systemmuss anschließend neu gestartet werden.

BenutzerstammDamit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzernicht von einem gleichnamigen Benutzer SAP* übersteuert wird. Falls das so ist, muss dergleichnamige Benutzer via SU01 umbenannt werden.

194 / 279

rz10.de - die SAP Basis und Security Experten

SAP-Stern freischalten

Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in derDatenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Namedes Benutzers SAP* aus dem Benutzerstamm geändert werden:

update [SCHEMA].usr02set BNAME=”SAP*_old”where BNAME=”SAP*” and MANDT=”[Zielmandant]”

Für das <SCHEMA> der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann derexistierende Benutzerstamm auch gelöscht werden. Bitte beachten Sie, dass das SQL-Kommandounter Umständen an das jeweilige Datenbank-Management-System angepasst werden muss. Bitteprüfen Sie den Befehl genau, bevor Sie das Kommando ausführen.

Sobald Sie den Benutzer SAP-Stern freischalten konnten, ist eine Anmeldung mit demStandardkennwort PASS möglich. Dieses Password ist im Programmcode festgesetzt und kann nichtgeändert werden.

Nach der Reparatur muss der Profilparameter login/no_automatic_user_sapstar wieder auf einenWert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* mit generiertem Kennwort angelegtwerden. Dieser sollte der Benutzergruppe SUPER angehören, gesperrt sein und über keineBerechtigungen verfügen.

Haben Sie noch weitere Tipps oder Ergänzungen? Ich freue mich auf Ihr Feedback!

Verwandte Beiträge

Überprüfung der SAP Standardbenutzer auf InitialkennwortSAP Basis und SAP Security Berater von RZ10 buchenMandantenübergreifende SAP Benutzerliste erstellen

195 / 279

rz10.de - die SAP Basis und Security Experten

Saprouter als Service mit SNCvon Timm Funke - Beitrag vom 26. Juni 2012

Soll ein saprouter unter Windows als Service installiert werden und dabei auch noch SNC mit derOption –k aktiviert werden, so ist die mit einem kleinen Trick möglich.

C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p “service -r -K^p:CN=Server, OU=0000123456, OU=SAProuter, O=SAP, C=DE^ -Y 0 -C 1000 -D -Gc:usrsapsaproutersaprouter.log -J 50000000″

Dort wo die ^stehen müssen eigentlich Anführungsstriche stehen. Das funktioniert aber nicht richtig,da die Parameter schon komplett mit Anführungsstrichen eingeklammert sind.

Ist der Dienst nun erst mal installiert, kann man die notwendige Anpassung in der Registryvornehmen:

ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSAProuterImagePath die beiden(^) in (“) umstellen

196 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

Netzwerkverbindungen aus dem SAP testenFehler beim Registrieren des saprouter Dienstes

197 / 279

rz10.de - die SAP Basis und Security Experten

SDCCN manuell konfigurierenvon Silvia Scholer - Beitrag vom 10. Oktober 2014

Mittels der Transaktion “SDCCN” werden neben der EWA Generierung auch die Wartungszertifikateautomatisch in den ABAP Systemen eingespielt. Bei Java Systemen geschieht dies durch dieKonfiguration der SMD-Agenten. Für den Fall, dass die EWA Generierung oder die Wartungszertifikatenicht automatisch eingespielt werden, muss die “SDCCN” Konfiguration geprüft und ggfs. angepasstwerden.

Voraussetzungen für die manuelle Konfiguration:

Das ABAP System ist im SolMan unter “Konfiguration verwalteter Systeme” eingerichtet. ImSchritt “Systemparameter eingeben” muss “EWA-Alerts im Alert-Eingang” aktiviert sein. Beider automatischen Konfiguration müssen die Services aktiviert seinDie “Back”-RFC Verbindung zum SolMan muss im verwalteten System eingerichtet sein.

Manuelle Konfiguration:

Über Springen->Einstellungen->Aufgabenspezifisch die aufgabenspezifischen Einstellungen öffnen.Dies ist notwendig, damit die “Back”-RFC Verbindung eingetragen werden kann.

Danach die “RFC Destinations” öffnen.

198 / 279

rz10.de - die SAP Basis und Security Experten

Unter dem Reiter “Destinationen” wird die “Back”-RFC Verbindung als neue RFC Verbindungeingetragen. Die Funktion der RFC Verbindung wird beim anschließenden Sichern geprüft. Ggfs.muss bei sehr alten SAP Releases das Benutzerkennwort neu vergeben werden.

Nach dem Sichern ist die “Back”-RFC Verbindung zum SolMan erfolgreich eingetragen.

Jetzt ist die “SDCCN” richtig konfiguriert, damit EWAs automatisch generiert und Wartungszertifikateautomatisch eingespielt werden. Zum Testen der neuen Konfiguration starten wir einenFunktionstest. Dazu muss eine neue Aufgabe “Maintenance Package” eingeplant werden um dieVerbindung zu testen. Im nachfolgenden Beispiel erfolgt die einmalige Ausführung des Jobs“Maintenance Package”. Hier ist zu beachten, dass bei “RFC-Masterdestination” die “Back”-RFCVerbindung zum SolMan eingetragen ist.

199 / 279

rz10.de - die SAP Basis und Security Experten

Nach dem Ausführen erscheint unter dem Reiter “Erledigt” beim Status ein grüner Hacken, der daserfolgreiche Ausführen des Jobs symbolisiert. Was genau der Job macht, steht im Jobprotokoll.

Der vorhandene, regelmäßig eingeplante Job “Maintenance Package” muss nicht umgeplant werden.Bei der nächsten Jobausführung wird die “Back”-RFC Verbidung zum SolMan verwendet, selbst wennbei der Aufgabe ein anderes System eingetragen ist. Wem das stört, kann die Jobeinplanung auchlöschen und neu anlegen.

Welche Erfahrungen haben Sie mit dem automatischen Einplanen von Wartungszertifikatengemacht? Ich freue mich auf Ihre Antworten.

Verwandte Beiträge

Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt

200 / 279

rz10.de - die SAP Basis und Security Experten

Wartungszertifikate automatisch über den SAP Solution Manager beziehenSAP Basis und SAP Security Berater von RZ10 buchenFehlerhafte Darstellung der Alert Inbox

201 / 279

rz10.de - die SAP Basis und Security Experten

Single Sign On für SAP GUIvon Timm Funke - Beitrag vom 1. Februar 2011

Einrichtung SNC für SAP auf Windows

Teil 1 Voraussetzungen und Hinweise

Kerberos Single Sign-On (SSO) bietet eine einfache und sichere Anmeldemethodik für ein SAPSystem. Sie eignet sich, wenn Windows 2000 oder höher verwendet wird.

Sofern das System für SSO konfiguriert ist, kann ein berechtigter Benutzer, der an Windowsangemeldet ist, auf das SAP-System zugreifen, indem er es einfach im SAP-Logon-Fenster auswähltoder eine Verknüpfung verwendet. Der Benutzer braucht nicht bei jeder Anmeldung am SAP-Systemüber SAP GUI für Windows eine Benutzerkennung und ein Kennwort einzugeben. Daher erleichtertSSO die Verwaltung der SAP-Systembenutzer.

Wir übernehmen Betriebsaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis Berater von RZ10 Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.175403-22 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Der Microsoft Kerberos Security Service Provider (SSP) bietet sichere Authentifizierung plusVerschlüsselung der Netzwerkkommunikation.

202 / 279

rz10.de - die SAP Basis und Security Experten

Folgende Hinweise und Dokumentationen sind zu beachten. Wie das ganze eingerichtet undkonfiguriert wird, werde ich in meinem nächsten Beitrag zusammenstellen.

SAP Hinweise

352295 – Microsoft Windows Single-Sign-On-Optionen

1257108 – Sammelhinweis: Analyse von Single Sign On (SSO)-Problemen

595341 – Installation issues with Single Sign-On and SNC

1043694 – Schl. Performance bei Verwendung von SNC für SSO

184277 – Längenbeschränkungen von SNC-Namen

150699 – Neueste Patches für SNC-Probleme

1153116 – Work Center: SAP SSO überschreiben

SAP Installationsguides

SAPNW700 InstallGuide mit SNC SSO Kapitel

SAP Online Help

http://help.sap.com/saphelp_nw73/helpdata/DE/44/0ebf6c9b2b0d1ae10000000a114a6b/frameset.htm

Weitere Infos, Whitepaper von Microsoft

http://www.microsoft.com/isv/sap/technology/interop/ad.aspx

Verfahren / Tool zum Rücksetzen von SAP Benutzer Passwörtern

http://download.microsoft.com/download/5/7/f/57f1490e-8a8d-497b-bbae-ec2a44b3799f/Password_Reset.pdf

Verwandte Beiträge

SSO Troubleshooting Checklist

203 / 279

rz10.de - die SAP Basis und Security Experten

Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possibleSingle Sign On mit KeePass

204 / 279

rz10.de - die SAP Basis und Security Experten

Single-Sign-On: Trust-Verbindung einrichten mit demSSO2-Wizardvon Eiko Wagenknecht - Beitrag vom 8. Januar 2015

Damit Benutzer eines SAP Portals ohne erneute Anmeldung Anwendungen eines SAP ERP-Systemsnutzen können, ist die Einrichtung von Single-Sign-On erforderlich. Hierfür muss das Portalsystem imERP-System als “Trusted System” hinterlegt werden. Alternativ zur klassischen Herangehensweisegibt es das SSO2-Tool, welches mit dem Portal mitgeliefert wird und diese Aufgabe stark vereinfachtund automatisiert.

Schritt 1: Das SSO2-Tool aufrufen

Zum Start des Tools wird die folgende URL aufgerufen:

http://<host>:<port>/sso2 (Host und Port des Portalsystems)

Durch den im Screenshot markierten Statuseintrag wird angezeigt, welches System gerade verwaltetwird.

Dort steht nach dem Aufruf des SSO2-Tools zunächst das Portalsystem. Es wird dementsprechendeine Liste der Systeme angezeigt, zu denen vom Portal aus eine Trust-Verbindung besteht.

Schritt 2: Verwaltungs-Verbindung zum ERP-System hinzufügen

Da für den oben beschriebenen Anwendungsfall die umgekehrte Richtung interessant ist, also demERP-System das Portalsystem als Trust-Verbindung hinzugefügt werden soll, ist der nächste Schrittder Wechsel des verwalteten Systems auf das ERP-System. Dieser Wechsel findet über denButton “Verbindung zu entferntem System herstellen” statt. Im sich öffnenden Dialog sind dieVerbindungsdaten zum ERP-System sowie ein ausreichend befugter Benutzeraccount einzutragen.

205 / 279

rz10.de - die SAP Basis und Security Experten

Wenn das Einloggen auf dem entfernten System funktioniert hat, steht dann an dieser Stelle derentsprechende Systemname.

Schritt 3: Hinzufügen des Portals als “Trusted System”

Das eigentliche Hinzufügen des Portalsystems als “Trusted System” geschieht über die Funktion“Trusted System hinzufügen -> Durch Abfrage des Trusted Systems”. Hierdurch gleicht sich dasSystem automatisch mit dem hinzuzufügenden System ab richtet dieses als “Trusted System” ein.

Auch an dieser Stelle wird nochmals ein entsprechend befugter Benutzeraccount benötigt, diesmalvon dem Portalsystem.

Ist auch hier der Login erfolgreich verlaufen, wird vor der Einrichtung noch eine letzte Bestätigungangezeigt.

Nach Abschluss des Assistenten ist das Portalsystem nun bei dem ERP-System als Trusted Systemhinterlegt.Welche Erfahrungen haben Sie mit Single-Sign-On gemacht? Ich freue mich auf Ihre Kommentare.

206 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

SAP Basis und SAP Security Berater von RZ10 buchenSingle Sign On mit KeePassFehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible

207 / 279

rz10.de - die SAP Basis und Security Experten

Spool-Aufträge manuell löschenvon Dominik Busse - Beitrag vom 3. Februar 2015

Der Spool-Bereich ist vollgelaufen und muss bereinigt werden, da die Spool-Aufträge stillstehen. ImFolgenden erkläre ich Ihnen, wie Sie mithilfe eines Reports manuell aufräumen können.

Spool-Aufträge mithilfe des Reports RSPO1041 löschen

Im Zuge der Bereinigung des Spool-Bereichs müssen obsolete Spool-Aufträge gelöscht werden.Hierzu verwenden Sie den Report RSPO1041. Führen Sie diesen zunächst mit der Transaktion SA38aus:

Es erscheint die Eingabemaske zum Löschen alter Spool-Aufträge. In dieser Eingabemaske könnennun die Kriterien zum Löschen der Spool-Aufträge festgelegt werden. Diese Kriterien beschreibe ichim Folgenden.

Kriterien zum Löschen von Spool-Aufträgen

Die oberen vier Bereiche in der Eingabemaske beziehen sich auf den Status der zu löschenden Spool-Aufträge:

208 / 279

rz10.de - die SAP Basis und Security Experten

Ohne Ausgabeauftrag: Bezieht sich auf alle Spool-Aufträge, für die kein Ausgabeauftragerstellt wurde.In Arbeit: Bezieht sich auf alle Spool-Aufträge, die sich im Status in Arbeit befinden.Fertige: Bezieht sich auf alle Spool-Aufträge, die erfolgreich bearbeitet (gedruckt und ggf.archiviert) wurden.Fehlerhafte: Bezieht sich auf alle Spool-Aufträge, bei deren Bearbeitung ein Fehleraufgetreten ist.

Für jeden Status kann nun einzeln festgelegt werden, ob und für welchen Zeitraum diese gelöschtwerden sollen. Hierfür wird der jeweilige Kasten vor dem Status angekreuzt und anschließend eineZeitangabe in Tagen (älter als … Tage) gemacht. Die Angabe “älter als … Tage” bezieht sich dann

209 / 279

rz10.de - die SAP Basis und Security Experten

auf alle Spool-Aufträge, die vor dem angegebenen Zeitraum erzeugt wurden. Zusätzlich kann auchangekreuzt werden, dass die Spool-Aufträge gelöscht werden, die veraltet sind. Das wiederumbezieht sich auf alle Spool-Aufträge, die das bei der Erzeugung erstellte Verfallsdatum bereitsüberschritten haben. Dieses Verfallsdatum beträgt im Standard 8 Tage.

Im darunter liegenden Bereich Kalender kann spezifiziert werden, welche Tage einer Woche für dieBerechnung der Angabe “älter als … Tage” herangezogen werden sollen. Hier wird zwischen allenTagen oder nur Werktagen unterschieden. In jedem Fall muss ein Werkskalender im FeldFabrikkalender-ID angegeben werden.

Im untersten Bereich Weitere Bedingungen können die Kriterien zum Löschen von Spool-Aufträgenweiter eingeschränkt werden:

Hierbei können Sie zunächst Systemname und Mandant eingrenzen. Außerdem lässt sich auch derErzeuger (Username) der zu löschenden Spool-Aufträge einschränken. Noch genauereEinschränkungen können mithilfe der Kriterien Titel (des Spool-Aufrags), Spool-Auftragsname,Spool-Auftrag (Suffix1), Spool-Auftrag (Suffix2) und Ausgabegerät erzielt werden. Dadurch lassensich ganz bestimmte Spool-Aufträge filtern:

Titel: Der Titel, der auf dem Deckblatt des Auftrags erscheinen soll. (Nur verfügbar, wenn dasAusgabegerät das SAP-Standarddeckblatt druckt.)Spool-Auftragsname: Dreiteiliger Name eines Spoolauftrags, wobei der Name automatischvom Spool-System bestimmt wird, kann aber auch vom erzeugenden Benutzer bzw.Programm eingetragen werden. Es gibt keine zwingende Namenskonvention.Spool-Auftrag (Suffix): Dieses Feld entspricht laut F1-Hilfe dem Feld Spool-Auftragsname. EinSpool-Auftrag kann sowohl einen Spool-Auftragsnamen als auch einen Titel besitzen. Erstererwird automatisch vom Spool-System erzeugt, letzterer muss explizit vom erzeugendenBenutzer bzw. Programm eingetragen werden.Ausgabegerät: Langer Name eines Ausgabegerätes. Der lange Name kann bis zu 30 Zeichenumfassen. Beachten Sie Groß-/ Kleinschreibung des Ausgabegeräts.

210 / 279

rz10.de - die SAP Basis und Security Experten

Nachdem alle Kriterien nach Ihren Wünschen festgelegt wurden, kann der Report ausgeführt(Ausführen – F8) werden und die entsprechenden Spool-Aufträge werden gelöscht. Wenn Siezunächst nur einen Probelauf durchführen möchten, um zu prüfen, welche Spoolaufträge gelöschtwerden sollen, finden Sie unterhalb des Bereiches Kriterien zur Auswahl der zu löschenden Spool-Aufträge noch die Option Nur Protokoll ohne Löschen?

Wie häufig sollten Spool-Aufträge gelöscht werden?

Das oben beschriebene manuelle Vorgehen ist besonders dann sinnvoll, wenn der Spool-Bereichbereits vollgelaufen ist. Eine periodische Einplanung des Löschjobs im Hintergrund ist oft sinnvoller.Es ist in jedem Fall empfehlenswert, die Spool-Aufträge regelmäßig zu löschen, wobei die Häufigkeitvom jeweiligen System abhängig gemacht werden muss. Allerdings sollten Sie bedenken: Je seltenerdie Spool-Aufträge gelöscht werden, desto länger wird der Löschvorgang dauern und desto eher wirdsich dieser auf die Performance des Gesamtsystems auswirken. Folglich sollten Sie Spool-Aufträgeregelmäßig und öfter Löschen, da dann mit jedem Löschvorgang auch weniger Spool-Aufträge aufeinmal gelöscht werden müssen.

Wie sind Ihre Erfahrungen mit dem Löschen von Spool-Aufträgen? Führen Sie den Report zumLöschen von Zeit zu Zeit manuell aus oder haben Sie diesen bereits als Job im Hintergrundeingeplant? Ich freue mich auf Ihre Antworten und Kommentare!

Verwandte Beiträge

Wichtige Transaktionen für Performance UntersuchungenNeue Funktionen in der SAP SU53 und im SAP Berechtigungs-TraceSAP Basis und SAP Security Berater von RZ10 buchenTransportauftrag aus Importqueue löschenAusplanen eines eingeplanten Importauftrags

211 / 279

rz10.de - die SAP Basis und Security Experten

Sprachpakte in SAP aktivieren - select one of the installedlanguagesvon Tobias Harmes - Beitrag vom 12. Juni 2013

Vielleicht kennen Sie das Problem. Sie haben ein neues SAP System aufgesetzt oder ein weiteresSprachpaket in Ihrem System erfolgreich installiert und wollen die Anmeldesprache auf demApplikationsserver auf eine andere Sprache setzen. Bei der Anmeldung erscheint aber dieFehlermeldung “select one of the installed languages“. Ich selbst bin auf diese Meldung bei derUmstellung der Anmeldesprache auf einem Netweaver 7.31 ERP 6 EhP 6 gestoßen.

Bevor Sie ein Sprachpaket aktivieren vergewissern Sie sich, dass Sie alle Vorarbeiten erfolgreichabgeschlossen haben. Dazu gehören folgende zwei Punkte.

1. Die Sprache ist im System installiert2. Die Profilparameter in der Transaktion RZ10 sind gesetzt

Für den ersten Punkt genügt ein Blick in die Transaktion SMLT. Dort sind alle installierten Sprachenaufgelistet. Punkt Nummer zwei wird detailliert im Blogbeitrag “Anmeldesprache für SAPDialogbenutzer festlegen” von meinem Kollegen Tobias Harmes beschrieben.

Sind beide Punkte erledigt folgt der eigentliche Teil.

Starten Sie die Transaktion I18N und wählen Sie, wie in der Abbildung gezeigt, die SystemKonfiguration aus.

Im Darauf folgenden Menü fügen Sie die gewünschte Sprache in der Liste hinzu. In der Abbildungwurde die Sprache Deutsch hinzugefügt.

212 / 279

rz10.de - die SAP Basis und Security Experten

213 / 279

rz10.de - die SAP Basis und Security Experten

Bestätigen Sie schlussendlich Ihre Eingaben und markieren Sie die zu aktivierenden Sprachen.Drücken Sie den Button aktivieren, um die Konfiguration abzuschließen.

214 / 279

rz10.de - die SAP Basis und Security Experten

Sie erhalten am Ende noch ein Ergebnisprotokoll mit dessen Hilfe Sie die durchgeführtenArbeitsschritte kontrollieren können.

215 / 279

rz10.de - die SAP Basis und Security Experten

Hat Ihnen der Beitrag geholfen bzw. haben Sie ähnliche Erfahrungen bei der Konfiguration vonSprachpaketen gemacht? Dann zögern Sie nicht und schreiben Sie mir Ihre Erfahrungen in einemKommentar.

Verwandte Beiträge

Pseudo Sprachinstallation im SAP BWDownload von SAP SprachpaketenAnmeldesprache für SAP Dialogbenutzer festlegenVerhalten von Berechtigungen nach SAP UpgradesProfilparameter zur Umsetzung von Kennwortrichtlinien in SAP-SystemenSAP Systeme deinstallieren mit dem SAP Software Provisioning Manager

216 / 279

rz10.de - die SAP Basis und Security Experten

217 / 279

rz10.de - die SAP Basis und Security Experten

SSL Webservices im SAP nutzenvon Tobias Harmes - Beitrag vom 3. Februar 2011

Für die Anbindung von produktiven Webservices ist eine verschlüsselte Verbindung ausnaheliegenden Gründen natürlich bevorzugt. Allerdings muss man für eine SSL-Verbindung einigeVorarbeiten leisten, die man auf Client-Seite (z.B. mit einem Internet Explorer) in der Regel nicht hat.

Z.B. möchte ein SAP-System im Trust-Manager genau die Stammzertifikate mitgeteilt bekommen,denen es Vertrauen darf. Hat man das nicht getan, tauchen in den Programmen Fehler wie“ICM_HTTP_INTERNAL_ERROR” und im ICM-Log (Transaktion smicm->Springen->Trace Datei)folgende Fehlermeldungen auf:

[Thr 4832] *** ERROR during SecudeSSL_SessionStart() from SSL_connect()==SSL_ERROR_SSL

[Thr 4832] session uses PSE file “xxxSAPSSLC.pse”

[Thr 4832] SecudeSSL_SessionStart: SSL_connect() failed

secude_error 9 (0x00000009) = “the verification of the server’s certificate chain failed”

[Thr 4832] >> Begin of Secude-SSL Errorstack >>

[Thr 4832] ERROR in ssl3_get_server_certificate: (9/0x0009) the verification of the server’s certificate chain failed #

ERROR in af_verify_Certificates: (24/0x0018) Chain of certificates is incomplete : “OU=Class 3 Public Primary Certification Auth

ERROR in get_path: (24/0x0018) Can’t get path because the chain of certificates is incomplete #

[Thr 4832] << End of Secude-SSL Errorstack

[Thr 4832] SSL_get_state() returned 0x00002131 “SSLv3 read server certificate B”

[Thr 4832] SSL NI-sock: local=x.x.x.x:12345 peer=y.y.y.y:443

[Thr 4832] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000248AAF0)==SSSLERR_SSL_CONNECT

[Thr 4832] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-57): SSSLERR_SSL_CONNECT

Dieser Fehler wird auch in SAP Hinweis 1094342 beschrieben.

Für den Import der Stammzertifikate benötigt man diese in Dateiform. Dies geht relativ einfach mitdem Internet Explorer. Wichtig: Den IE als Administrator ausführen, ansonsten ist einZertifikatsexport in eine Datei nicht möglich.

Auf der Zielseite einen Doppelklick auf das Zertifikatssymbol.

218 / 279

rz10.de - die SAP Basis und Security Experten

Der Zertifikatspfad zeigt die notwendigen Stammzertifikate, die importiert werden müssen.

Für jeden Eintrag der Zertifikatskette muss man einmal “In Datei kopieren” auswählen.

219 / 279

rz10.de - die SAP Basis und Security Experten

Dort vorzugsweise ein binär-codiertes Zertifikat verwenden. Das Base-64-Format, dass im Hinweiserwähnt wird, hat nicht funktioniert.

Der Importvorgang im SAP muss dann über die Transaktion STRUST in einer Client-PSE erfolgen. Jenach dem wie man den Aufruf macht, müssen die Zertifikate in andere PSEs importiert werden. Diegenutzte PSE kann man z.B. in dem ICM-Log sehen. Die verwendete SAPSSLC.pse entspricht hier der“SSL-Client (Standard)” im Trust-Manager.

Um das Zertifikat der Zertifikatsliste hinzuzufügen, auf “Zertifikat importieren” gehen.

220 / 279

rz10.de - die SAP Basis und Security Experten

Die Datei auswählen und “Binär” auswählen.

Danach das angezeigte Zertifikat in die Liste aufnehmen und sichern. Danach den ICM-Serverdurchstarten (smicm).

Nun sollte der Zugriff funktionieren. Wichtig ist, dass die Domain in der URL mit dem Common Namein dem Zertifikat übereinstimmt. Ansonsten gibt einen Fehler vergleichbar mit der IE-Zertifikatswarnung “Der Hostname stimmt nicht überein”, und die Verbindung schlägt fehl.

Im ICM-Log würde das so aussehen:

[Thr 1560] MatchTargetName(“t1234.example.com”, “CN=z99999.example.com, OU=Applications, O=”example.com, Inc.”,L=Hannover

[Thr 1560] SSL NI-sock: local=x.x.x.x:53253 peer=y.y.y.y:443

[Thr 1560] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000252FE20)==SSSLERR_SERVER_CERT_MISMATCH

[Thr 1560] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-30): SSSLERR_SERVER_CERT_MISMATCH{0003000b} [icxxconn

Tipp: In der SM59 eine “HTTP-Verbindung zu ext. Server” anlegen, damit kann man in der Regelschneller testen, als jedes Mal den Webservice zu debuggen.

Verwandte Beiträge

ABAP-Webservices mit dem SOA-Manager anlegenHowTo Konfiguration von Adobe Document Services (ADS - SAP)

221 / 279

rz10.de - die SAP Basis und Security Experten

222 / 279

rz10.de - die SAP Basis und Security Experten

SSO Troubleshooting Checklistvon Tobias Harmes - Beitrag vom 2. Februar 2012

Single Sign On ist ein beliebtes Thema aus der Kategorie kleines Problem – lange Fehlersuche. Ichhabe mir dafür eine kleine Checkliste zusammengestellt. Die passenden Quell-Hinweise sind imjeweiligen Check verlinkt. Ich freue mich über jeden Kommentar – z.B. wenn noch ein möglicherCheck fehlen sollte.

Check 1 Systemversion und Version von SAPSECULIB oder SAPCRYPTOLIB

Welche Systemversion wird eingesetzt bzw. unterscheiden sich Test- & Produktivsystem?Report SSF02 mit Parameter “Version ermitteln” (z.B. über SE38) ausführen

Result: SSF_API_OK

Wenn nicht: STRUSTSSO2 im eigenen und ggf. im 000-Mandant prüfenPrüfen ob die SAPSECULIB oder SAPCRYPTOLIB aktuell ist:

http://service.sap.com/download -> Download -> SAP Cryptographic Software.

Die Profilparameter müssen korrekt gesetzt sein:

ssf/ssfapi_lib = <Pfad zum Sicherheitsprodukt> (SAP Security Library)

ssf/name = SAPSECULIB

sec/libsapsecu = <Pfad zum Sicherheitsprodukt> (SAP Security Library)Siehe dazu auch: Hinweis 701205 – Single Sign-On über SAP-Anmeldetickets

Check 2 Profilparameter

RZ11 temporär, RZ10 permanent

login/accept_sso2_ticket 1login/create_sso2_ticket 2 (ohne Zertifikat)icm/host_name_full FQDN (z.B. hostname.example.com), Achtung

Reverse Proxies!

Check 3 Transaktion STRUSTSSO2

223 / 279

rz10.de - die SAP Basis und Security Experten

System-PSE prüfen, muss grün sein

Check 4 Transaktion SSO2

Die Transaktion ist zwar schon veraltet, die Fehlermeldungen dort können aber sehr gut recherchiertwerden

Das Zertifikat muss ggf. in die Trust-Liste der Systeme (STRUSTSSO2), die das Logon-Ticketakzeptieren (sofern das Ticket überhaupt signiert ist).

RFC-Destination: NONE

Check 5: Transaktion SICF

Bei Nutzung von SSO-Tickets für eigene Webservices:

/default_host/sap/bc/srt/rfc/sap/WEBSERVICENAME

/default_host/sap/bc/bsp/sap/system_test (siehe nächsten Punkt)

Sind die aktiv?

224 / 279

rz10.de - die SAP Basis und Security Experten

Check 6 : Transaktion SE80, Testwebseite SSO

SYSTEM_TEST/test_sso2.htm –> Testen (F8)

Wenn nicht verfügbar –> SICF prüfen (Check 5)

Die URL oben kopieren und danach alle Browser-Fenster schließen. Danach neuen Browseraufmachen und probieren.

Beispiel-URL:http://hostname.example.com:8000/sap(bD1kZSZjPTgwMA==)/bc/bsp/sap/system_test/test_sso2.htm

Da sollte ein Cookie á la: ‘MYSAPSSO2=…’ sein.

Alternativ auch

javascript:alert(document.cookie);Siehe dazu auch: Hinweis 817529 – Überprüfung der SSO-Konfiguration

Verwandte Beiträge

Single Sign On für SAP GUIInternet Explorer Client Certificate Popup unterbinden bei SSO SzenarioSingle Sign On mit KeePassFehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possibleKontrolleurzuordnung kann nicht gelöscht werden

225 / 279

rz10.de - die SAP Basis und Security Experten

226 / 279

rz10.de - die SAP Basis und Security Experten

SUM Fehler – sapcontrol service certificate is not trustedvon Timo Eckhardt - Beitrag vom 16. September 2014

SUM Fehler – sapcontrol service certificate is not trusted – Beim Starten des Software UpdateManagers wird seit der Version SP10 PL8 (SUM10SP10_8-20006543.SAR) darauf geachtet, dass eineHTTPS Connection vorhanden ist. Das folgende Fehlerbild lässt sich im SUM nicht überspringen,sodass zunächst der Ursache auf den Grund gegangen werden muss um mit dem Update fortfahrenzu können.

sapcontrol service certificate is not trusted for host

227 / 279

rz10.de - die SAP Basis und Security Experten

Mehr Informationen zu dem Fehler kann man dem Logfile entnehmen, welches in der Fehlermeldungaufgeführt wird: /usr/sap/SID/SUM/sdt/log/SUM/CONFIGURE-SAPCONTROL-CONNECTION-FOR-CI_01.LOG

Jun 27, 2014 7:31:58 PM[Info ]: SUM sdt directory is /usr/sap/SID/SUM/sdt/param.Jun 27, 2014 7:31:58 PM[Info ]: /usr/sap/SID/SUM/sdt/param/jump_config.txt file contains key/sapstartsrv/httpsconnection.Jun 27, 2014 7:31:58 PM[Info ]: The https option /sapstartsrv/httpsconnection from file/usr/sap/SID/SUM/sdt/param/jump_config.txt is set to true.Jun 27, 2014 7:31:58 PM[Info ]: Port: 58314 is opened And could be used.Jun 27, 2014 7:31:58 PM[Info ]: Port: 58313 is opened and could be used.Jun 27, 2014 7:31:58 PM[Info ]: The system can be accessed via HTTPS.Jun 27, 2014 7:31:58 PM[Info ]: Checking for certificate …Jun 27, 2014 7:31:58 PM[Info ]: Getting missing certificates for host SID and instance with###…Jun 27, 2014 7:31:58 PM[Error ]: javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException: PKIX path building failed:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certificationpath to requested targetJun 27, 2014 7:31:58 PM[Error ]: javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException: PKIX path building failed:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certificationpath to requested targetJun 27, 2014 7:31:58 PM[Error ]: The following problem has occurred during step execution:com.sap.sdt.util.diag.DiagException: The sapcontrol service certificate is not trusted for hostSID, instance ##. For more information, see section “Verifying Certificates” in the SUM guide.

Damit der Software Update Manager (SUM) auch ohne eingerichtetes HTTPS genutzt werden kann,kann man die Konfigurationsdatei jump_config.txt anpassen. Zuvor ist es jedoch notwendig den SUMvollständig zu beenden.

cd /usr/sap/SID/SUM/sdt/param/

vi jump_config.txt

Folgenden Eintrag wie folgt von “true” auf “false” abändern:

### Sapcontrol web service configuration

/sapstartsrv/httpsconnection = false

Nun kann man den SUM erneut starten und mit dem eigentlichen Update fortfahren. Bitte beachtenSie dabei, dass dieser Schritt künftig bei jedem Update mit dem SUM durchgeführt werden muss. Welche Erfahrungen haben Sie mit dem SUM gemacht? Ich freue mich auf Ihre Kommentare.

Verwandte Beiträge

SUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“SAP Basis und SAP Security Berater von RZ10 buchenSUM - validation of deployment queue completed with error

228 / 279

rz10.de - die SAP Basis und Security Experten

229 / 279

rz10.de - die SAP Basis und Security Experten

SUM Update mit der Fehlermeldung „Invalid SAPServiceSIDuser credentials for host“von Silvia Scholer - Beitrag vom 6. Dezember 2013

Bei dem Update eines Solution Manager 7.1 mit dem Software Update Manager (SUM) 1.0 SP09 trittfolgender Fehler auf:

Invalid SAPServiceSID user credentials for host <hostname>

230 / 279

rz10.de - die SAP Basis und Security Experten

Die Überprüfung des Passwortes kann bei Windows wie folgt an einer beliebigen lokalen Freigabedurchgeführt werden:

d:\>net use \\%COMPUTERNAME%\sapmnt correctPassword /USER:SAPserviceSID

The command completed successfully.

d:\>net use \\%COMPUTERNAME%\sapmnt wrongPassword /USER:SAPserviceSID

System error 86 has occurred.

Da die Überprüfung des Passwortes zeigt, dass das Passwort korrekt ist und dieser Fehler erst beimJava Update auftritt und somit das ABAP Update erfolgreich durchgeführt wurde, ist davonauszugehen, dass das Passwort nicht die Ursache für den Fehler darstellt.

231 / 279

rz10.de - die SAP Basis und Security Experten

Das Problem liegt hier im falschen User. Die Standardeinstellung des User Names ist .\SAPServiceSIDund wird übersetzt als <COMPUTERNAME>\SAPServiceSID. Da der User aber kein lokaler Benutzerauf dem Server ist sondern ein Domänen-Benutzer, muss der User Name <DOMAIN>\SAPServiceSIDlauten.

Beim ABAP Update findet die richtige Übersetzung automatisch statt, deshalb gab es an dieser Stellekeine Fehlermeldung.

Ich freue mich auf Ihr Feedback

Verwandte Beiträge

SAP Solution Manager Key generierenSAP Systeme deinstallieren mit dem SAP Software Provisioning ManagerJSPM Start: Error while detecting start profileSecurity Optimization Self Services mit dem SAP Solution Manager 7.1SUM Fehler – sapcontrol service certificate is not trustedSAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master

232 / 279

rz10.de - die SAP Basis und Security Experten

SUM - validation of deployment queue completed with errorSAP Kernel Update durchführen

233 / 279

rz10.de - die SAP Basis und Security Experten

SUM - validation of deployment queue completed with errorvon Timo Eckhardt - Beitrag vom 6. März 2014

Beim Patchen des Java Stacks eines SAP Systems bricht der Software Update Manager (SUM) imSchritt Configuration 5.3 mit folgendem Fehlerbild ab:

Validation of deployment queue completed with error: [ERROR Code DPL.DCAPI.1055]ValidationException. Reason: SDU loading excpetion occurde while validating archives.sap.com/WD-ADOBE: Validation of Archive /usr/sap/trans/EPS/WDADOBE10_0-10******.SCAfor component null/null finished with warning. See Deploy Controller log/usr/sap//SUM/sdt/log/SUM/deploy_api.0.log for details

234 / 279

rz10.de - die SAP Basis und Security Experten

Auch ein “Repeat step from Point of failure” bringt uns an dieser Stelle nicht weiter.

In diesem Fall deutet die Warnmeldung “null/null finished with warning” darauf hin, dass derSoftware Update Manager (SUM) im angegebenen Verzeichnis /usr/sap/<SID>/SUM nicht genügendfreien Speicherplatz zur Verfügung hat. Bitte vergrößern Sie das Laufwerk oder löschen überflüssige

235 / 279

rz10.de - die SAP Basis und Security Experten

Dateien. Es sollte mindestens 3 mal so groß sein wie die zu installierenden Files.

Hilfreiche SAP Notes in diesem Zusammenhang:

1763605 – Error: “[ERROR CODE DPL.DCAPI.1033] ValidationException Reason: null” during SUM’sVALIDATE-QUEUE step

891895 – JSPM: benötigter Plattenplatz

Was sind Ihre Erfahrungen mit dem Software Update Manager (SUM)? Haben Sie Fragen oderProblemstellungen?

Verwandte Beiträge

JSPM Start: Error while detecting start profileSUM Update mit der Fehlermeldung „Invalid SAPServiceSID user credentials for host“SUM Fehler – sapcontrol service certificate is not trusted

236 / 279

rz10.de - die SAP Basis und Security Experten

SYNCMARK blockiert Importqueue: wrong syntax in tp callvon Dominik Busse - Beitrag vom 16. Dezember 2013

Die Importqueue eines neuinstallierten SAP ERP Systems wird durch den Auftrag SYNCMARK ohneZielmandanten blockiert. Beim Versuch den Auftrag zu entfernen erscheint stets die Fehlermeldung:wrong syntax in tp call.

Das Problem mit dem SYNCMARK:

Durch den Auftrag SYNCMARK ist das manuelle Hinzufügen weiterer Aufträge deaktiviert, sodass derImportqueue keine weiteren Aufträge angehängt werden können. Somit blockiert der Auftrag dieImportqueue, da sich der Auftrag nicht entfernen lässt – weder durch manuelles löschen, noch durchdas Hinzufügen eines Zielmandanten. Die Fehlermeldung lautet stets: wrong syntax in tp call.

237 / 279

rz10.de - die SAP Basis und Security Experten

Entfernen des SYNCMARK und lösen des Problems:

Zunächst schalten Sie sich Remote auf den Server des betroffenen SAP-Systems. Hier navigieren Siein folgendes Verzeichnis:

Unter Windows: <DRIVE>\usr\sap\trans\buffer\Unter Linux/Unix: /usr/sap/trans/buffer/

In diesem Verzeichnis finden Sie die Bufferdateien Ihrer einzelnen SAP-Systeme. Hier öffnen Sie dieBufferdatei des betroffenen Systeme, welche mit der SID des Systems benannt ist:

Unter Windows: write <SID>Unter Linux/Unix: vi <SID>

238 / 279

rz10.de - die SAP Basis und Security Experten

In der ersten Zeile dieser Datei sehen Sie den Eintrag des SYNCMARK-Auftrags. Im Gegensatz zu denanderen Einträgen ist dieser jedoch nicht auskommentiert.

Kommentieren Sie den entsprechenden Eintrag durch das Einfügen eines #-Symbols aus undspeichern Sie.

Wechseln Sie anschließend wieder in die Importqueue Ihres SAP-Systems und aktualisieren Sie diese.Als Ergebnis sollte SYNCMARK aus der Importqueue verschwunden sein. Darüberhinaus ist die Optionzum Anhängen weiterer Aufträge wieder aktiviert.

239 / 279

rz10.de - die SAP Basis und Security Experten

Die Importqueue sollte nun wieder vollständig einsatzbereit sein.

Ich hoffe ich konnte Ihnen mit meinem Beitrag weiterhelfen und freue mich sehr auf Ihr Feedbackund Ihre Kommentare.

Verwandte Beiträge

TP Befehle zur TransportsteuerungDumps nach Abbruch der SPAMSAP Systemkopie mit ChaRM und Urgent Corrections im EinsatzTransportauftrag aus Importqueue löschenImporteinplanung von Transportaufträgen via STMSAusplanen eines eingeplanten Importauftrags

240 / 279

rz10.de - die SAP Basis und Security Experten

Systemauslastung aufzeichnen und analysierenvon Dominik Busse - Beitrag vom 5. August 2014

Auf dem SAP-System grassiert ein regelmäßiger Fehler. Mit folgendem Report können Sie dieSystemauslastung automatisch aufzeichnen und den Fehler anschließend komfortabel analysieren.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Mithilfe des Reports SDF/MON/ (Display Snapshot Monitoring) können Systemauslastung einesSystems und belegte Workprozesse sowie weitere Systemwerte für einen beliebigen Zeitraumdetailliert festgehalten werden. Wenn das Problem also regelmäßig auftritt und sich sogar auf einenbestimmten Zeitraum eingrenzen lässt, können Sie mithilfe des SDF/MON/ komfortabel relevanteInformationen sammeln. Dieser erstellt automatisch und zu frei wählbaren Zeitpunkten Snapshotsvon relevanten Systeminformationen.

Systemauslastung mit SDF/MON/ aufzeichnen

Den Report können Sie einerseits über die SE38 ausführen (entsprechende Berechtigungenvorausgesetzt) oder aber durch Eingabe des Transaktionscode /n/SDF/MON/ (bei Eingabe ohne /nwird die Transaktion nicht gefunden).

Hinweis: In manchen Systemen ist der Report nur in englischer Sprache verfügbar. Falls Sie denReport also Ausführen und keine Texte sehen, loggen Sie sich aus und geben Sie bei der Anmeldungam SAP GUI als Anmeldesprache EN (englisch) an.

241 / 279

rz10.de - die SAP Basis und Security Experten

Über Schedule New Monitoring (Monitoring neu einplanen) können Sie eine neue Aufzeichnung derSystemauslastung planen und anlegen.

Geben Sie zunächst eine Description (Beschreibung) ein, unter welcher Sie die Aufzeichnung späteraufrufen können.

Anschließend setzen Sie den Zeitraum der Aufzeichnung (Start time / End time) undden Verfallszeitpunkt der gespeicherten Auswertungsdatei (Do not delete before) fest.

Weiterhin können Sie den Intervall der Aufzeichnung (Interval in seconds) festlegen. Hiermit könnenSie bestimmen, dass bspw. alle 10 Sekunden ein Snapshot der Systemauslastung in IhrerAufzeichnungsdatei gespeichert wird. Darüberhinaus können Sie die maximale Dateigröße (Restrictsize) limitieren.

Nun können Sie noch festlegen, welche Informationen in dem Snapshot abgespeichert werden sollen.So können Sie beispielsweise alle 10 Sekunden Informationen über folgende Systemwerte sammeln:

– Workprozesse (List of workprocesses)

– Dispatcher Queue

– Auslastung CPU und Paging des Betriebssystems (CPU and paging activity)

– Prozesse mit höchsten CPU-Verbrauch (Top CPU processes)

– Speicherauslastung (Ext. and heap mem.)

– Anzahl der Benutzersitzungen (No. of logins/sessions)

– Einträge in In- und Outbound-Queue

– Freie RFC-Workprozesse (Free RFC WPs)

Abschließend können Sie noch den/die Server angeben, auf welchem/welchen Sie Systemauslastungaufzeichnen wollen.

242 / 279

rz10.de - die SAP Basis und Security Experten

Nachdem Sie die Einstellungen nach Ihren Anforderungen gepflegt haben, können Sie auf Ausführenklicken. Je nach angegeben Zeitpunkt, wird die Aufzeichnung entweder direkt gestartet oder eserscheint eine Meldung über die erfolgreiche Einplanung Ihrer Monitoring-Aufzeichnung:

243 / 279

rz10.de - die SAP Basis und Security Experten

Aufzeichnung der Systemauslastung analysieren

Wenn Ihre Aufzeichnung erfolgreich durchgeführt wurde, können Sie diese beim nächsten Aufruf derTransaktion /n/SDF/MON in der Einstiegsmaske auswählen:

Es erscheint eine erste Übersicht zu Ihrer Aufzeichnung der Systemauslastung:

Mit einem Doppelklick oder Klick auf das Brillen-Icon öffnen Sie die Details zu Ihrer Aufzeichnung. Inden Details sehen Sie eine chronologische Auflistung von allen Aufzeichnungszeitpunkten innerhalbdes definierten Zeitfensters. Auch in dieser Übersicht können Sie bereits relevante Werte zu derSystemauslastung sehen:

244 / 279

rz10.de - die SAP Basis und Security Experten

Zu jedem Aufzeichnungszeitpunkt können Sie weitere Detailinformationen abrufen.Hierfür markieren Sie einen Zeitpunkt und wählen über den Reiter “Goto” oder die Iconleiste weitereAnalysen aus. Je nachdem was Sie aufgezeichnet haben, können Sie sich die Liste der Workprozesse,den Speicherverbrauch oder die Prozesse mit der höchsten CPU-Auslastung anzeigen lassen. Mit WPList Aggregation können Sie die Auflistung der Workprozesse sogar nach auswählbaren Kriterienaggregieren.

245 / 279

rz10.de - die SAP Basis und Security Experten

Wenn Sie sich bspw. die Prozesse mit der höchsten CPU-Auslastung anzeigen lassen, können Sie dieSystemauslastung rückwirkend sehr detailliert analysieren:

246 / 279

rz10.de - die SAP Basis und Security Experten

Insgesamt handelt es sich bei der Transaktion /n/SDF/MON/ bzw. dem Report SDF/MON/ um ein sehrmächtiges Werkzeug zur Aufzeichnung und Analyse der Systemauslastung.

Konnten Sie bereits Erfahrungen mit dem Aufzeichnen der Systemauslastung sammeln? Vielleichtkonnten Sie hierdurch sogar endlich eine langwierige Fehlersuche abschließen? Ich freue mich aufIhre Kommentare!

Verwandte Beiträge

Wichtige Transaktionen für Performance UntersuchungenBetriebssyteminformationen aus dem SAP heraus analysierenTraces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11Performanceoptimierung der SAP BW LandschaftSAP Basis und SAP Security Berater von RZ10 buchenTrace erstellen mit der Transaktion ST12

247 / 279

rz10.de - die SAP Basis und Security Experten

248 / 279

rz10.de - die SAP Basis und Security Experten

Tabelle WRH$_SQL_BIND_METADATA wächst schnellvon Timm Funke - Beitrag vom 16. Juni 2012

Die Tabelle WRH$_SQL_BIND_METADATA wächst schnell und füllt so den Tablespace SYSAUX.

Den Tablespace SYSAUX gibt es seit dem Oracle Release 10g und dient als Speicherort für OracleSystemkomponenten, wie z.B. den AWR Report.

Allerdings kann man sich auch sehr einfach anzeigen lassen, welche Komponenten den meisten Platzbelegen:

select OCCUPANT_NAME, SCHEMA_NAME, SPACE_USAGE_KBYTESfrom v$SYSAUX_OCCUPANTSorder by space_usage_kbytes;

Im aktuellen Fall war der AWR Report der Spitzenreiter.

Den gesamten Platzbedarf des Reports kann man mit dem folgenden SQL Kommando herausfinden:

select SPACE_USAGE_KBYTES/1024 “AWR Size [MBytes]”

from V$SYSAUX_OCCUPANTS

where occupant_name = ‘SM/AWR';

Anschließend kann man noch überprüfen, wie viel Platz in dem Tablespace aktuell noch frei ist:

select sum(bytes)/(1024 * 1024) “SYSAUX MBytes free”

from dba_free_space

where tablespace_name = ‘SYSAUX';

Dann kann es unter Umständen sinnvoll sein, die Speicherdauer der AWR Statistiken zu verkürzen:

BEGIN

DBMS_WORKLOAD_REPOSITORY.modify_baseline_window_size(

window_size =>1 );

END;

/

SELECT moving_window_size

249 / 279

rz10.de - die SAP Basis und Security Experten

FROM dba_hist_baseline

WHERE baseline_type = ‘MOVING_WINDOW';

BEGIN

DBMS_WORKLOAD_REPOSITORY.modify_snapshot_settings(

retention => 10080); — Minutes (= 7 Days).

END;

/

SELECT retention FROM dba_hist_wr_control;

Hier in diesem Beispiel auf 7 Tage.

Verwandte Beiträge

Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLSRisiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAPminimieren

250 / 279

rz10.de - die SAP Basis und Security Experten

Tablespace-Erweiterung einer Oracle SAP Datenbank mitBRTOOLSvon Tobias Harmes - Beitrag vom 12. Februar 2014

Egal, ob Sie Ihre Tablespaces manuell, mit BRTOOLS bzw. der Transaktion DB02 aus der SAP GUIheraus, oder mit dem Solution Manager überwachen, irgendwann kann es passieren, dass derFüllstand des Tablespaces Ihren gesetzten Schwellwert überschreitet und Sie gezwungen sind denTablespace zu erweitern.

In diesem Beitrag zeige ich Ihnen, wie Sie mit dem Programm BRTOOLS von Oracle einen Tablespaceerweitern können.

Dazu rufen Sie zuerst als DB Administrator-User das Kommando brtools auf. Es öffnet sich dasHauptprogramm BRTOOLS mit dem Hauptmenü (s. Abbildung 1). Die Navigation erfolgt überZeichenkommandos. Unter dem Punkt 2 – Space management befinden sich die Optionen für dieVerwaltung der Tablespaces. Um dahin zu navigieren, geben Sie die 2 ein und bestätigen mit Enter.

Abbildung 1: BRTOOLS Hauptmenü

Im Space management Menü finden Sie u.a. den Punkt 1 – Extend tablespace. Über diese Optionnavigieren Sie zur Erstellung einer neuen data-Datei. Alternativ können Sie hier auch über den Punkt5 – Alter data file bestehende data-Dateien bearbeiten, dazu am Ende mehr. Geben Sie hier die 1 einund bestätigen Sie mit Enter um mit der Erweiterung fortzufahren (s. Abbildung 2).

251 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Space management Menü

Das nächste Zwischenmenü zeigt einige Optionen für die Wahl des Tablespaces. Hier können Siebeispielsweise über die Option 3 – Tablespace name bereits das gewünschte Tablespace angeben (s.Abbildung 3). Die Angabe an dieser Stelle ist allerdings optional, da ohne Angabe im übernächstenSchritt alle Tablespaces aufgelistet werden und Sie die Möglichkeit bekommen den gewünschtenTablespace auszuwählen. Zur Weiternavigation geben Sie c ein und bestätigen mit Enter.

252 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: Parameter für die Erweiterung

An dieser Stelle wird Ihnen nochmal die Möglichkeit geboten sich die Tablespaces oder data-Dateienanzuschauen. Um mit der Erweiterung fortzufahren geben Sie hier die 1 ein und bestätigen mit Enter(s. Abbildung 4).

Bemerkung: Sie können jederzeit auch einen Schritt zurückgehen, indem Sie b (für back) eingebenund mit Enter bestätigen. Den kompletten Vorgang abbrechen können Sie mit dem Kommando s (fürstop).

Abbildung 4: Zwischenschritt vor der Erweiterung

Jetzt kommen Sie zu dem Punkt, an dem Sie, falls Sie weiter oben keinen Tablespace eingegebenhaben, das gewünschte Tablespace wählen können, welches Sie erweitern wollen. Hier bekommenSie auch einige Details z.B. zum Füllstand und der Größe der Tablespaces angezeigt (s. Abbildung 5).Wählen Sie hier Ihren Tablespace, indem Sie die Zahl vor dem Tablespace eingeben und mit Enterbestätigen.

253 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 5: Auswahl der Tablespaces

Jetzt können Sie die Parameter für die neue data-Datei festlegen. BRTOOLS übernimmt einigeParameter aus der letzten erstellten Datei. Der fortlaufende Name wird automatisch bei der Option 3vorgeschlagen, die vorgeschlagene Dateigröße bei der Option 5 ist die der letzten Datei. Die Größekönnen Sie ändern, indem Sie die 5 eingeben, mit Enter bestätigen und anschließend die neue Größeeingeben.

Die Option 6 bestimmt, ob Autoextend an oder aus ist. Autoextend sorgt dafür, dass data-Dateienautomatisch vergrößert werden, falls Platz gebraucht wird und noch Platz zum Vergrößern da ist.Wenn Sie Autoextend nutzen wollen, dann sind auch die Parameter 7 und 8 obligatorisch. Dieselegen die maximale Dateigröße fest und auch die Schritte in MB in denen die Datei vergrößert wird(s. Abbildung 6).

Wenn Sie alle Parameter eingegeben haben, geben Sie c ein und bestätigen mit Enter um die Dateiso zu erstellen.

254 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 6: Parameter der data-Datei

Bevor die Datei endgültig erstellt wird, können Sie in diesem Zwischenschritt entscheiden, ob Siedirekt eine weitere Datei erstellen wollen oder nicht. Falls nein, dann fahren Sie mit c oder n fort (s.Abbildung 7). Falls ja, dann geben Sie y ein und Sie kommen wieder zur oberen Ansicht mit denDateiparametern, diesmal allerdings für die zweite Datei.

Abbildung 7: Abfrage weitere Datei erstellen

Wenn keine Probleme aufgetreten sind (z.B. kein Platz mehr auf der Festplatte), dann sehen Sie jetztdie Erfolgsmeldung mit den Details (s. Abbildung 8). Diese Meldung können Sie bestätigen indem Siec eingeben.

255 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 8: Erfolgsmeldung

Jetzt kommen Sie wieder zu dem Menü aus Abbildung 4. Um das Programm zu verlassen, geben Siehier c ein und bestätigen mit Enter. Nun sehen Sie wieder das Menü aus Abbildung 2, hier kommenSie mit b zurück zum Hauptmenü. In diesem können Sie das Programm mit der letzten Option 9 –Exit program endgültig verlassen, wenn Sie das auch bei einer weiteren Zwischenabfrage mit cbestätigen müssen.

Um noch einmal auf die Option 5 aus Abbildung 2 zurückzukommen: hier können Sie einzelne data-Dateien bearbeiten. Die Parameter, die Sie in Abbildung 6 für die data-Datei festgelegt haben,können Sie in diesem Untermenü anpassen und so z.B. auch manuell die Dateigröße anpassen.Wenn Sie z.B. kein Autoextend nutzen und nicht immer die maximale Größe vergeben, können Sieüber diese Option mehr Platz auf dem Tablespace schaffen, ohne neue data-Dateien anlegen zumüssen.

Jetzt können Sie im BRTOOLS Menü navigieren und mit diesem die Tablespaces erweitern.

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

Oracle-/DB Administration und Performance TransaktionenTabelle WRH$_SQL_BIND_METADATA wächst schnellbrbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set

256 / 279

rz10.de - die SAP Basis und Security Experten

TP Befehle zur Transportsteuerungvon Timm Funke - Beitrag vom 31. Januar 2011

Unter Umständen ist es doch mal notwendig, Transporte mit dem tp Befehl direkt über dasBetriebssystem zu importieren. Im folgenden die wichtigsten Befehle

tp command descriptionshowbuffer SID Shows the buffer of system SIDaddtobuffer tranportSID

Adds transport to the buffer of system SID

delfrombuffer tranportSID

Deletes transport from the buffer of the SAP system SID

cleanbuffer SID Removes old entries from SIDs buffer

setstopmark SID Fügt eine Markierung in den Buffer von System SID ein,bei der ein import oder put aufhört. Wenn keinederartige Marke vorhanden ist, dann fügen die Befehleimport all und put temporär eine solche ein (undlöschen diese nach erfolgreichem Import).

delstopmark SID Entfernen der Stop-Marke aus dem Buffer addtobuffer transportSID

Add thetransport transport to bufferof system SID

import all/transportSID

Import all or a singletransport into SID. You mayadd special unconditionalmodes.

getobjlist transport displays a list of theobjects in transport. Thesource system must bedefined as a dummysystem in the TPPARAM file.

locksys SID Lock users others thanSAP* and DDIC out of thesystem, they get themessage `put stillrunning’. Be aware, thateven logged in users maynot start new jobs, but canstill work.

unlocksys SID Unlock the system SIDlock_eu SID Lock the development

environment ofsystem SID , so no abap or

257 / 279

rz10.de - die SAP Basis und Security Experten

dictionary developmentcan take place.

unlock_eu SID Unlock the developmentenvironment ofsystem SID (back to thestate before lock_eu)

getdbinfo SID Displays informationsabout the database

U Modes für tp

u-mode Description0 do not remove the transport from the

buffer and set unconditional mode 1, sothe transport gets imported at the righttime again.

1 ignore that the transport as already beenimported

3 overwrite originals 6 overwrite objects in uncommited(?)

repairs 8 ignore restrictions from the table class 9 ignore that the system is locked for this

kind of transport (how can thathappen?)

Beispiel:

tp addtobuffer <Transportauftrag> SID

tp import <Transportauftrag> SID client=111 u1389

Verwandte Beiträge

SYNCMARK blockiert Importqueue: wrong syntax in tp callImporteinplanung von Transportaufträgen via STMSAusplanen eines eingeplanten ImportauftragsSAP Transport Status zurücknehmenTransporteur zu SAP Transport ermittelnBetriebssystembefehle via Transaktion ausführenSAP IDM Transport und Release Planung - SAP Identity Management HowTo

258 / 279

rz10.de - die SAP Basis und Security Experten

259 / 279

rz10.de - die SAP Basis und Security Experten

Trace erstellen mit der Transaktion ST12von Silvia Scholer - Beitrag vom 4. Juli 2014

Mit der Transaktion ST12 können SQL-Statements, ABAP-Code, RFC und Abläufe vonProgrammen/Jobs aufgezeichnet werden. Der Trace zeigt wie der Zeitbedarf von unterschiedlichenProgrammen bis zum individuellen ABAP-Code oder SQL-Statement ist. Diese Information bietet dieMöglichkeit um Performanceverbesserungen vorzunehmen. Im Nachfolgenden werden die generellenSchritte zum Ausführen der Transaktion ST12 gezeigt.

Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch.

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei derKonfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetentenBerater an: SAP Basis und SAP Security Berater von RZ10 buchen Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon0211.9462 8572-25 oder per E-Mail info@rz10.deIn einem unverbindlichenGespräch kann ich mit Ihnenüber Ihre Ausgangslagesprechen und IhnenMöglichkeiten aufzeigen.Selbstverständlich können wirdanach auch einunverbindliches Angebotunterbreiten.Fachbereichsleiter TobiasHarmes

Aufrufen der Transaktion ST12. Danach muss festgelegt werden, was aufgezeichnet werden soll:

User/Tasks: Wenn Aktivitäten eines einzelnen Users aufgezeichnet werden sollen.

Workprocess: Wenn ein laufender SAP work process aufgezeichnet werden soll.

Current mode: Wenn die eigenen Aktivitäten aufgezeichnet werden sollen.

Schedule: Wenn Aktivitäten in der Zukunft aufgezeichnet werden sollen und keine Person verfügbarist, die dies übernehmen kann.

Im Beispiel wird ein User/Task Trace durchgeführt. Dazu im Feld “Username” den User eingeben, fürden der Trace erstellt werden soll. Ist der User bereit, kann der Button “Start trace” geklickt werden.

260 / 279

rz10.de - die SAP Basis und Security Experten

Folgende Meldung kann ignoriert werden

261 / 279

rz10.de - die SAP Basis und Security Experten

Anschließend kann vom Anwender die Transaktion ausgeführt werden, für die der Trace durchgeführtwird. Ist dies beendet, kann der Button “end traces & collect” geklickt werden. Somit wird dieAufzeichnung beendet.

Es wird eine Übersicht über die gerade erstellten Traces gezeigt. Den oder die gewünschtenauswählen und bestätigen.

262 / 279

rz10.de - die SAP Basis und Security Experten

Anschließend muss der Trace ausgewählt werden, der überprüft werden soll. Nach dem Auffrischenund Erscheinen des grünen Hakens kann unter “collected trace analyses” der Tracelog ausgewähltwerden.

Es erscheint eine Liste mit den ganzen Tracelogs.

263 / 279

rz10.de - die SAP Basis und Security Experten

Den gewünschten auswählen und bestimmen, was für ein Trace evaluiert werden soll:

ABAP trace: zeigt den Zeitbedarf bei den unterschiedlichen Programmebenen.

Performance traces: liefert denselben Trace wie die Transaktion ST05.

SQL summary: liefert denselben Trace wie die Transaktion ST05, allerdings mit mehr Informationenwie Server, Redundanzen etc.

Anschließend ist eine Analyse möglich.

Was sind Ihre Erfahrungen mit dem Erstellen von Traces? Ich freue mich auf Ihre Kommentare.

Verwandte Beiträge

Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11Rollen aus einem SAP Berechtigungstrace erstellenSystemauslastung aufzeichnen und analysierenSAP Basis und SAP Security Berater von RZ10 buchen

264 / 279

rz10.de - die SAP Basis und Security Experten

Traces sammeln und anzeigen für SAP AS Java 6.40 bis 7.11von Tobias Harmes - Beitrag vom 27. Juli 2012

Von einem Kollegen habe ich einen Tipp auf den Hinweis 1045019 bekommen. Dort wird ein Web-Diagnose-Tool zum Sammeln von Trace-Dateien angeboten. Nicht immer hat man einen SolutionManager Diagnostics mit Trace Analysis im Zugriff. Da das manuelle Tracen im AS Java Umfeld nichtwirklich Spaß macht (und teilweise mangels Zugriff auch nicht gestattet ist), habe ich mir das Toolmal auf einem Solution Manager 7.1 angesehen. Eines vorweg: man benötigt einen Flash-fähigenBrowser.

Vor der Nutzung muss man das .sda-File aus dem Hinweis installieren. Bis 7.02 kann man das überden SDM deployen, für 7.10 und 7.11 geht man über die telnet shell. Für die Nutzung des TraceCollectors ist im Hinweis sogar ein Mini-Flash-Tutorial angehängt.

Nach dem Deploy geht man auf http://<Host>:<Port>/diagtool/tc

Nun kann man für ausgewählte Server Nodes die gewünschten Trace-Ablageorte auswählen, diegesammelt werden sollen. Danach genügt ein Klick auf den Start-Button und die Sammlung wirdgestartet.

Hier habe ich während des Traces einen Login mit fehlerhaften Zugangsdaten durchgeführt.Nachdem man die Sammlung beendet hat, wird das Endergebnis und die Anzahl der ermitteltenFehler angezeigt. Mit einem Klick auf die Fehlerspalte gelangt man zu den Details.

265 / 279

rz10.de - die SAP Basis und Security Experten

Und tatsächlich erhält man eine relativ gut lesbaren Trace der freundlicherweise auch gleich dieFehler einfärbt.

Weitere Links: Hinweis 1045019 – Web-Diagnose-Tool zum Sammeln von Trace-Dateien Hinweis1332726 – Troubleshooting Wizard

Verwandte Beiträge

Rollen aus einem SAP Berechtigungstrace erstellenTrace erstellen mit der Transaktion ST12Systemauslastung aufzeichnen und analysieren

266 / 279

rz10.de - die SAP Basis und Security Experten

267 / 279

rz10.de - die SAP Basis und Security Experten

Transportauftrag aus Importqueue löschenvon Silvia Scholer - Beitrag vom 20. Februar 2014

Soll ein Transport nicht importiert werden, so kann der Import durch Löschen aus der Importqueueüber die Transaktion STMS verhindert werden. Notwendige Informationen hierbei sind derSystemname und die Transportnummer.

Zum Löschen müssen Sie sich im System auf dem Mandanten 000, da die Importqueuemandantenunabhängig ist, anmelden und die Transaktion STMS aufrufen. Durch klicken auf denroten LKW wechseln Sie in die Importübersicht.

Von der Importübersicht aus gelangen Sie durch Doppelklick auf die SID in die Importqueue desgewünschten Systems.

268 / 279

rz10.de - die SAP Basis und Security Experten

Im Beispiel wurde der 4. Eintrag gewählt. Nach dem Doppelklick wird die Importqueue angezeigt.Hier einmal Refresh (F5) wählen, damit alle Einträge angezeigt werden. Anschließend den zulöschenden Transport einmal anklicken, sodass der Cursor in der Zeile des Transportes steht.

Durch klicken der Mülltonneerscheint eine Nachfrage, ob der Transportauftrag gelöscht werden

269 / 279

rz10.de - die SAP Basis und Security Experten

soll. Diese Nachfrage bestätigen.

Sollen mehrere Transporte gelöscht werden nun den nächsten Transport markieren, der gelöschtwerden soll und wieder die Mülltonne klicken.

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

SAP IDM Transport und Release Planung - SAP Identity Management HowToSAP Transport Status zurücknehmenTransporteur zu SAP Transport ermittelnImporteinplanung von Transportaufträgen via STMSAusplanen eines eingeplanten ImportauftragsSpool-Aufträge manuell löschenSYNCMARK blockiert Importqueue: wrong syntax in tp call

270 / 279

rz10.de - die SAP Basis und Security Experten

Transporteur zu SAP Transport ermittelnvon Dominik Busse - Beitrag vom 10. November 2014

Sie wollen herausfinden, wer einen Transport in ein SAP System durchgeführt hat. Über diesenUmweg erfahren Sie den Transporteur zu einem SAP Transport.

Es gibt allerlei Transaktionen, über die Sie schnell und einfach Informationen wie zum Beispiel Inhalt,Inhaber oder Zielsystem eines Transportes erhalten. Immer wieder gibt es jedoch Situationen, indenen diese einfach zu erreichenden Informationen nicht ausreichen. Wenn beispielsweise nach demImport eines Transportes unerwartete Fehler auftreten, kann es durchaus wichtig sein, wer denImport durchgeführt hat. Über die Transaktion STMS erhalten Sie Uhrzeit, Transportinhaber undStatus eines Transports – den Transporteur zu einem SAP Transport erhalten Sie jedoch nur überUmwege. Denn der Inhaber eines Transportes muss nicht zwingend auch sein Transporteur sein.

Transporteur zu einem SAP Transport ermitteln

Die Grundlage zu dieser Information findet sich in der Funktionalität eines SAP Systems an sich –alles ist in Tabellen enthalten und kann über Umwege nachvollzogen werden. Um einen Transporteurzu einem SAP Transport zu ermitteln, ist die Tabelle TPLOG interessant. Sie können – entsprechendeBerechtigungen vorausgesetzt – mit der Transaktion SE16 darauf zu greifen. Wer transportiert hat,finden Sie heraus, indem Sie die Transportnummer umrahmt von * (*TRANSPORTNUMMER*) im FeldCMDSTRING eintragen:

271 / 279

rz10.de - die SAP Basis und Security Experten

Als Ergebnis erhalten Sie die Zeilen der Tabelle TPLOG, die den entsprechenden Transport betreffen.In der Spalte USERNAME sehen Sie den Usernamen. In der Spalte CMDSTRING steht einerseits dieTransportnummer andererseits der jeweilige Transportschritt, also bspw. der IMPORT. Der Username,den Sie in der Zeile mit IMPORT und Transportnummer finden, ist der Transporteur zu demTransport:

Haben Sie bereits Situationen erlebt, in denen Sie gerne gewusst hätten, wer einen bestimmtenTransport transportiert hat? Ich freue mich über Ihre Erfahrungen aber auch Fragen in denKommentaren gleich unterhalb dieses Beitrags.

272 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beiträge

TP Befehle zur TransportsteuerungSAP Basis und SAP Security Berater von RZ10 buchenTransportauftrag aus Importqueue löschenAusplanen eines eingeplanten ImportauftragsSAP Transport Status zurücknehmenImporteinplanung von Transportaufträgen via STMS

273 / 279

rz10.de - die SAP Basis und Security Experten

Überwachungspause im Solution Manager für ein Systemeinplanenvon Tobias Harmes - Beitrag vom 7. Februar 2014

Wenn Sie die Verfügbarkeit Ihrer Systeme mit dem Solution Manager über das CCMS überwachen, istes sinnvoll für geplante Downtimes (Offline-Backup, EHP/SP Upgrade, Refresh etc.) eineentsprechende Überwachungspause zu pflegen. Damit wird verhindert, dass die Downtime bei derCCMS Verfügbarkeitsprüfung einen Alarm auslöst.

Dazu rufen Sie zunächst die Transaktion RZ21 – CCMS Customizing Monitorarchitektur auf. DieEinstellungen zur Verfügbarkeitsüberwachung finden Sie im Menübaum Techn. Infrastruktur –Verfügbarkeitsüberwachung – CCMSPING-Verfügbarkeitsüberw. konfigur. (s. Abbildung 1)

Abbildung 1: RZ21 – CCMSPING-Verfügbarkeitsüberwachung konfigurieren

Jetzt bekommen Sie eine Übersicht über Ihre Systeme und auch, welche davon überwacht bzw. nichtüberwacht werden. Hier können Sie das System markieren, bei dem Sie eine Überwachungspauseeinplanen wollen. Wichtig ist hier, dass die komplette Zeile markiert sein muss und nicht nur eine derSpalten. Hierzu auf das Ordnersymbol klicken. Die Option Überwachungspause anlegen findenSie bei dem Button

im Untermenü (s. Abbildung 2).

274 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Überwachungspause anlegen

In dem sich nun öffnenden Dialog können Sie die Überwachungspausen für das System pflegen. BeimErstellen einer neuen Pause können Sie zwischen einer täglichen, wöchentlichen und einmaligenPause wählen und müssen auch die entsprechenden Start- bzw. Endparameter für die Pausefestlegen. Speichern können Sie die Pause mit dem entsprechenden

Button (s.Abbildung 3). Im unteren Teil des Dialogs können Sie bereits eingeplante Überwachungspausensehen und ggfs. über das Papierkorb-Symbol

wieder löschen.

275 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: Überwachungspausen pflegen

Je nach Versionsstand des Solution Managers, kann der Dialog auch etwas anders aufgebaut seinund mehr Optionen beinhalten (s. Abbildung 4). Das Prinzip für die Pflege der Überwachungspausenbleibt aber dasselbe.

276 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 4: Erweiterte Ansicht zur Pflege von Überwachungspausen

Ich freue mich auf Ihr Feedback.

Verwandte Beiträge

TREX Monitoring mit Solution Manager DiagnosticsVerfügbarkeiten nachweisen mit dem SAP Solution ManagerFehler bei Rollenaktualisierung der verwalteten Systeme im Solution ManagerCCMS-Alerts per E-Mail erhalten

277 / 279

rz10.de - die SAP Basis und Security Experten

278 / 279

rz10.de - die SAP Basis und Security Experten

Powered by TCPDF (www.tcpdf.org)

279 / 279