Sie sind auf Seite 1von 279

rz10.

de - die SAP Basis und Security Experten

RZ10-eBooks: SAP Basis


in der Version vom 5.03.2015

1 / 279

rz10.de - die SAP Basis und Security Experten

Inhaltsverzeichnis
ABAP-Webservices mit dem SOA-Manager anlegen ....................................... 4
Abfrage von mehreren SAP Tabellen ber den Quickviewer ............................... 13
Abgebrochene Verbuchungsstze lschen - SM13 ....................................... 17
Anmeldesprache fr SAP Dialogbenutzer festlegen ...................................... 22
ANST - Werkzeug fr die automatisierte Hinweissuche ................................... 26
Ausplanen eines eingeplanten Importauftrags .......................................... 33
Authentifizierung und Verschlsselung beim E-Mail-Versand .............................. 37
Automatische Prfung fr SAP Sicherheitshinweise ...................................... 39
Benutzerstammstze exportieren und importieren ...................................... 43
Betriebssystembefehle via Transaktion ausfhren ....................................... 48
Betriebssyteminformationen aus dem SAP heraus analysieren ............................ 57
brbackup Fehler: ORA-01149 cannot shutdown file 1 has online backup set ................ 60
CCMS-Alerts per E-Mail erhalten ..................................................... 63
Datenbankgre wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt ................. 71
Download von SAP Sprachpaketen ................................................... 73
Dumps nach Abbruch der SPAM ...................................................... 75
Fehler "unable to save the local file information" im SAP Download Manager ................. 77
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO ............................... 79
Fehler beim BI_CONT einspielen: Quellsystem existiert nicht .............................. 81
Fehler beim Registrieren des saprouter Dienstes ........................................ 83
Fehler im Upgrade auf EHP1 ........................................................ 85
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible ................... 87
Fehleranalyse bei Startproblemen der J2EE ............................................ 92
Gefhrlicher Profilparameter auth/object_disabling_active ................................ 93
Google Chrome Extension - SAP Any Search ............................................ 94
Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen ....................... 97
HowTo Konfiguration von Adobe Document Services (ADS - SAP) ......................... 101
IDoc Status manuell ndern ........................................................ 103
Importeinplanung von Transportauftrgen via STMS .................................... 107
Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario ................... 110
J-Co Destination kann nicht gestartet werden ......................................... 114
JSPM Start: Error while detecting start profile .......................................... 120
Kennworthistorie zurcksetzen ..................................................... 122
Laufzeitfehler DDIC_TYPELENG_INCONSISTENT ........................................ 124
Mandantenkopie ................................................................. 126
Massensperren von Benutzern via SU10 .............................................. 129
MaxDB 7.8 Passwort-Reset ......................................................... 130
Netzwerkverbindungen aus dem SAP testen .......................................... 133
OK Codes fr SAP ............................................................... 136
ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account .............................. 139
Oracle-/DB Administration und Performance Transaktionen .............................. 141
Performance Analysen im BW ein erster Ansatz ...................................... 143
PI-Komponenten fehlen im SLD ..................................................... 147
Pseudo Sprachinstallation im SAP BW ................................................ 150
SAP Archiv - SAR-Datei mit SAPCAR entpacken ........................................ 151
SAP Benutzertypen richtig verwenden ............................................... 154
SAP Emailversand einrichten und testen .............................................. 156
SAP Kernel Update durchfhren ..................................................... 161
SAP Management Console lsst sich nicht mehr starten Java Problem .................... 163
SAP Oracle Listener startet nicht .................................................... 168
SAP Portal Anmelde-Popup beim ffnen von MS Office-Dateien ........................... 170
SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed ............. 173
SAP Speichermodell in Windows Umgebungen ......................................... 180
SAP ST03N nderung der Aufbewahrungszeit von genutzten Transaktionen ................ 183

2 / 279

rz10.de - die SAP Basis und Security Experten


SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager ...................
SAP Transport Status zurcknehmen ................................................
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI ......................
SAP-Stern freischalten - Notfallbenutzer SAP* in SAP NetWeaver aktivieren .................
Saprouter als Service mit SNC ......................................................
SDCCN manuell konfigurieren ......................................................
Single Sign On fr SAP GUI .........................................................
Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard .......................
Spool-Auftrge manuell lschen ....................................................
Sprachpakte in SAP aktivieren - select one of the installed languages ......................
SSL Webservices im SAP nutzen ....................................................
SSO Troubleshooting Checklist .....................................................
SUM Fehler sapcontrol service certificate is not trusted ................................
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host ........
SUM - validation of deployment queue completed with error .............................
SYNCMARK blockiert Importqueue: wrong syntax in tp call ...............................
Systemauslastung aufzeichnen und analysieren .......................................
Tabelle WRH$_SQL_BIND_METADATA wchst schnell ...................................
Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS .......................
TP Befehle zur Transportsteuerung ..................................................
Trace erstellen mit der Transaktion ST12 .............................................
Traces sammeln und anzeigen fr SAP AS Java 6.40 bis 7.11 .............................
Transportauftrag aus Importqueue lschen ...........................................
Transporteur zu SAP Transport ermitteln .............................................
berwachungspause im Solution Manager fr ein System einplanen ......................

186
188
191
194
196
198
202
205
208
212
218
223
227
230
234
237
241
249
251
257
260
265
268
271
274

3 / 279

rz10.de - die SAP Basis und Security Experten

ABAP-Webservices mit dem SOA-Manager anlegen


von Tobias Harmes - Beitrag vom 20. Januar 2011

Gerade im SAP-Umfeld ist es interessant, im produktiven System verfgbare Informationen auch


anderen Nicht-SAP-Systemen zugnglich machen zu knnen. Webservices sind ein effektives Mittel
um Systeme ohne groe Umwege direkt miteinander kommunizieren zu lassen. Mit SAP NetWeaver
7.0 SP14 steht nun auch die Transaktion SOAMANAGER zur Verfgung, die den Umgang mit
Webservices deutlich einfacher macht. Dieses Howto beschreibt anhand eines einfachen Beispiels
die Vorgehensweise, um mit ABAP und dem SOAMANAGER einen SAP Webservice zur Verfgung zu
stellen.
Wir untersttzen Sie bei der Konfiguration und Absicherung Ihrer Schnittstellen.
Ob Sie Webservices absichern wollen oder einfach Untersttzung bei der initialen
Konfiguration haben mchten, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis
und SAP Security Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

berblick
1. Voraussetzungen
2. Einen Funktionsbaustein und Webservice im ABAP anlegen
3. Den Webservice mit soapUI nutzen

Voraussetzungen:
Eine funktionierende Transaktion SOAMANAGER (ab SAP NetWeaver 7.0 SP14)
Entwicklerzugriff und ABAP Kenntnisse , Transaktion SE80
Einen technischen User fr den eingeschrnkten Zugriff (Benutzertyp Kommunikation)
Einen Konsumenten, das heit einen Webservice-Nutzer (zum Testen ist das WebservicesTest-Tool soapUI gut geeignet)

Einen Funktionsbaustein und Webservice im ABAP anlegen

4 / 279

rz10.de - die SAP Basis und Security Experten


Reihenfolge fr das Anlegen eines Webservice im berblick:
1.
2.
3.
4.
5.

RFC-fhigen Funktionsbaustein anlegen


Input/Export-Parameter definieren
Das Programm
Webservice anlegen
Service im SOAMANAGER browsen und WSDL-Link speichern

RFC-fhigen Funktionsbaustein anlegen

Unser Beispiel wird ein Webservice sein, dem zwei Zahlen bergeben werden und der
daraufhin die Summe der beiden Zahlen zurck gibt.
Dafr in der Transaktion SE80 einen Funktionsbaustein anlegen und dabei in den
Eigenschaften Remote fhiger Baustein anwhlen.

Input/Export-Parameter definieren

Die Parameter definieren den Webservice, die Verwendung von Tabellen und Changing sind
hier nicht vorgesehen.
Die Import-Parameter bestimmen die Werte, die an den Webservice bergeben werden. In
dem Bespiel die beiden Zahlen, die von unserem Programm addiert werden sollen. Die
Parameter sollten Optional sein, damit man spter das WSDL-Dokument (siehe unten)
abrufen kann und als Wert bergeben werden.

5 / 279

rz10.de - die SAP Basis und Security Experten

Der Export-Parameter definiert die Rckgabe.

Diese Parameter mssen unbedingt vorher festgelegt werden und sollten sich spter auch
nicht mehr ndern, da ansonsten sich die ganze Webservice-Definition ndert und somit fr
Konsumenten nicht mehr nutzbar ist.

Das Programm

Das Programm sichern und aktivieren.

Webservice anlegen

ber einen Rechts-klick auf den Funktionsbaustein kann man einen Web Service Wizard
starten.

6 / 279

rz10.de - die SAP Basis und Security Experten

7 / 279

rz10.de - die SAP Basis und Security Experten

8 / 279

rz10.de - die SAP Basis und Security Experten

Der Webservice ZTH_WS_TESTING ist damit definiert und einsatzbereit.

Service im SOAMANAGER browsen und WSDL-Link speichern

Bevor der Webservice durch andere Systeme genutzt werden kann, bentigen diese eine
Beschreibung, wie und mit welchem Parametern der Webservice funktioniert. Diese Definition
steckt in einem WSDL-Dokument und wird zum Konsumieren des Webservices im ABAP und
anderen externen System bentigt. Die Transaktion SOAMANAGER ffnet einen Browser fr
den Zugriff auf das SOA-Management und bietet die Mglichkeit eine Download-URL fr das
WSDL-Dokument zu ermitteln.

9 / 279

rz10.de - die SAP Basis und Security Experten

Zunchst muss der neue Service selektiert werden.

Der markierte Link ffnet das WSDL-Dokument. Hinweis: Das Browserfenster wird unter
Umstnden im Hintergrund geffnet.

10 / 279

rz10.de - die SAP Basis und Security Experten


Die URL aus der Adressleiste speichern.

Den Webservice mit soapUI nutzen


Das Webservice Testing Tool soapUI ist als OpenSource-Tool unter http://www.soapui.org/ verfgbar
und bietet die Mglichkeit schnell einfacher Webservice Funktionstests durchzufhren. Ideal also, um
unseren eben angelegten Webservice zu testen.

New soapUI Project auswhlen und in dem Dialog die vorher gespeicherten WSDL-URL einfgen.

Technischen User angeben.

Es sollen die Zahlen 200 und 400 addiert werden. Wichtig ist etwaige Kommentare wie z.B.
<!OPTIONAL> zu entfernen. Diese knnen beim Aufruf des Webservices Probleme bereiten.

11 / 279

rz10.de - die SAP Basis und Security Experten

ber den Button Auth am unteren Rand mssen die Benutzerdaten fr den Aufruf hinterlegt
werden.

Auf Submit Request links oben gehen. Die Antwort des Webservices (die Summe der beiden
Zahlen) erscheint danach auf der rechten Seite. Damit ist der Webservice erfolgreich getestet!

Verwandte Beitrge
SSL Webservices im SAP nutzen
SAP Basis und SAP Security Berater von RZ10 buchen
SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed

12 / 279

rz10.de - die SAP Basis und Security Experten

Abfrage von mehreren SAP Tabellen ber den Quickviewer


von Tobias Harmes - Beitrag vom 19. April 2012

Letzte Woche habe ich in dem Artikel Grafische Visualisierung von SAP Tabellen und
Tabellenbeziehungen das Thema Abfrage von Tabelle mit dem QuickViewer erwhnt. Hier eine kurze
Anleitung wie man eine entsprechende Abfrage bauen kann.

Hat man die entsprechenden Beziehungen der Tabellen ermittelt, kann man dann relativ bequem
Join-Queries ber die Transaktion SQVI machen. Das Beispiel soll die durch Rollen zugewiesenen
Organisationsebenen eines Benutzers anzeigen. Diese Daten stehen in den Tabellen AGR_USERS und
AGR_1252.

Title fr QuickView anlegen und als Datenquelle Table join auswhlen

Alle relevanten Tabellen einfgen.

13 / 279

rz10.de - die SAP Basis und Security Experten

Bereits erkannte Fremdschlsselbeziehungen werden automatisch dargestellt.

Jetzt kann man die Felder der Ergebnistabelle auswhlen.

14 / 279

rz10.de - die SAP Basis und Security Experten

Danach whlt man aus, welche Selektionsfelder fr die Eingrenzung der Ergebnisse verfgbar sein
sollen.

Mit Ausfhren kann man fr den gewhlten Benutzer

alle Rollen und Organisationsebenen ausgeben.

Verwandte Beitrge
SAP Tabellen fr Transaktionen, Berechtigungsobjekte und Berechtigungsfelder
Grafische Visualisierung von SAP Tabellen und Tabellenbeziehungen

15 / 279

rz10.de - die SAP Basis und Security Experten

16 / 279

rz10.de - die SAP Basis und Security Experten

Abgebrochene Verbuchungsstze lschen - SM13


von Tobias Harmes - Beitrag vom 11. Februar 2014

Oft genug kommt es vor, dass ein Verbuchungsauftrag fehlschlgt. Verbuchungen werden in der
Regel gemonitort und Abbrche werfen entsprechend eine Alarmmeldung. Die Ursachenforschung
fr den Abbruch obliegt normalerweise der Fachabteilung. Diese bestimmt im Endeffekt auch, ob der
Verbuchungsauftrag nachverbucht werden soll oder ob der Verbuchungssatz gelscht werden kann.
Den letzten Fall mchte ich Ihnen in diesem Beitrag nher bringen und Ihnen zeigen, wie Sie den
richtigen Verbuchungssatz (engl. update record) anhand des Verbuchungsschlssels finden und
lschen knnen.
Rufen Sie dazu zuerst die Transaktion SM13 Verbuchung auf. Im Einstiegsfenster sehen Sie eine
Reihe von Selektionskriterien fr die Verbuchungsstze, die Sie sich anzeigen lassen mchten. Um
die Anzahl der gefundenen Verbuchungsauftrge mglichst gering und damit bersichtlich zu halten,
sollten Sie alle Ihnen bekannten Informationen nutzen um die Auswahl einzuschrnken.
Da wir nach abgebrochenen Verbuchungsstzen suchen, sollten Sie aber mindestens bei Status
Abgebrochen auswhlen und das Datum anpassen. Standardmig steht dort das aktuelle Datum
drin (s. Abbildung 1). Die Selektion starten Sie mit dem Ausfhren-Button

bzw. mit der Taste F8.

17 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 1: Einstiegsbild Verbuchungsauftrge


Als nchstes sehen Sie die gefundenen Verbuchungsstze, die zu Ihren Kriterien passen. An dieser
Stelle ist oft noch nicht erkennbar, welcher Verbuchungssatz gelscht werden soll. Jeder dieser
Verbuchungsstze hat einen eigenen Verbuchungsschlssel. Sollen also nicht alle sondern nur
spezifische Verbuchungsstze gelscht werden, dann muss auch der Verbuchungsschlssel oder
auch mehrere bekannt sein.
Sollte an dieser Stelle bereits bekannt sein, welcher Verbuchungssatz gemeint ist, dann knnen Sie
diesen mit dem Selektionskstchen markieren (die komplette Zeile, eine Spalte reicht nicht) und auf
das Papierkorb-Symbol
lschen (s. Abbildung 2).

klicken (oder Tastenkrzel Umsch+F2), um den Verbuchungssatz zu

Wenn Sie die Ihnen bekannten Verbuchungsschlssel mit den Schlsseln der Verbuchungsstze
vergleichen wollen, dann knnen Sie sich den Verbuchungsschlssel anzeigen lassen, indem Sie in
eine der Spalten des Verbuchungssatzes doppelt klicken bzw. ber die Buttons Verbuchungskopf
(Strg+Umsch+F6) oder Verbuchungsmodule
navigieren.

(F2) zu den entsprechenden Ansichten

18 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Gefundene Verbuchungsstze


Im Verbuchungskopf befindet sich der Verbuchungsschlssel in der obersten Zeile (s. Abbildung 3).

19 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: Verbuchungskopf
In der Ansicht der Verbuchungsmodule sehen Sie den Verbuchungsschlssel ber den einzelnen
Modulen (s. Abbildung 4). In dieser Ansicht haben Sie ebenfalls die Mglichkeit den Verbuchungssatz
zu lschen. Klicken Sie hierfr auf den Papierkorb oder benutzen Sie das Tastenkrzel Umsch+F2.

Abbildung 4: Verbuchungsmodule

20 / 279

rz10.de - die SAP Basis und Security Experten


Egal, ob Sie den Verbuchungssatz aus der bersicht oder aus der Modulansicht lschen wollen, in
jedem Fall kommt eine entsprechende Abfrage, die Sie besttigen mssen, um mit dem Lschen
fortzufahren.

Abbildung 5: Lschen besttigen


Damit haben Sie den Verbuchungssatz gelscht und er taucht nicht mehr in der Auflistung auf. Auf
diese Art knnen Sie jetzt auch weitere Verbuchungsstze lschen. Seien Sie aber aufmerksam beim
Lschen und vergleichen Sie die Verbuchungsschlssel genau, weil sie sich oft hneln. Einmal
gelschte Verbuchungsstze knnen nicht mehr hergestellt werden.
Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
Massenlschen von Rollen
SAP Basis und SAP Security Berater von RZ10 buchen

21 / 279

rz10.de - die SAP Basis und Security Experten

Anmeldesprache fr SAP Dialogbenutzer festlegen


von Tobias Harmes - Beitrag vom 27. April 2012

Es gibt zwei Mglichkeiten die Anmeldesprache in einem SAP System zu setzen.


Systemweite Anmeldesprache

Diese wird schon sichtbar, wenn man im Anmeldebildschirm eines Applikationsservers steht und gilt
auch als Dialogsprache fr alle Anwender.

Wir bernehmen Betriebsaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Die dazugehrigen Profil-Parameter lauten:

22 / 279

rz10.de - die SAP Basis und Security Experten


Parametername
zcsa/system_language

Beispielwert
E

zcsa/second_language

zcsa/installed_languages

DE

Bedeutung
Logon-Sprache und StandardSprache fr alle Dialoguser
Wenn Textelemente in der
gewhlten
Sprache
nicht
verfgbar sind, dann kann man
hier
die
Fallback-Sprache
definieren. In der Regel ist diese
E oder D fr Englisch oder
Deutsch
Anmeldesprachen
eines
Applikation-Servers

Den Wert des Parameters dazu kann man am Besten ber das Programm RSPARAM in der SA38
ermitteln, dabei auch den Haken unsubstituierte anzeigen anwhlen. nderungen erfordern den
Neustart des Applikationsservers.

Benutzerdefinierte Anmeldesprache

Diese kann man im Benutzerstammsatz ndern ber die Transaktion SU01 im Reiter Festwerte.

Mchte man die Anmeldesprache fr mehrere Benutzer ndern kann man die SU10
(Massennderung) verwenden. Die notwendige Userliste muss man dann allerdings ggf. ber die
Tabelle USR01 (Feld LANGU) erzeugen, denn in der SU10 kann man leider nicht nach derzeitig
gesetzter Anmeldesprache filtern.

Installierte Sprachen

23 / 279

rz10.de - die SAP Basis und Security Experten

Es knnen nur Sprachen ausgewhlt werden, die auch installiert sind, siehe dazu Transaktion SMLT.
Deutsch und Englisch sind aber eigentlich immer drin ;-).

Weitere Links:
System language change http://scn.sap.com/thread/851250

Verwandte Beitrge
Download von SAP Sprachpaketen
SAP Benutzertypen richtig verwenden
Sprachpakte in SAP aktivieren - select one of the installed languages
SAP Basis und SAP Security Berater von RZ10 buchen

24 / 279

rz10.de - die SAP Basis und Security Experten

25 / 279

rz10.de - die SAP Basis und Security Experten

ANST - Werkzeug fr die automatisierte Hinweissuche


von Armin Kern - Beitrag vom 24. Februar 2014

berblick: Theorie
In diesem Blogbeitrag stelle ich Ihnen das Automated Note Search Tool, kurz ANST vor. Neben einem
Rundumberblick ber die Funktionalitt des Werkzeugs dient dieser Beitrag auerdem als
Sammlung der bisher zum ANST erschienenen Hinweise. Am Ende finden Sie einen Link auf ein
interaktives Tutorial.
Bei ANST handelt es sich um ein Werkzeug, das basierend auf dem Prozess-Trace Hinweise mit
Korrekturanleitungen sucht. Wenn Sie in ihrem System auf ein Problem stoen, reproduzieren Sie
dieses mit Hilfe der Transaktion. Das Ergebnis ist eine Liste aller relevanten SAP Hinweise.

Ein Groer Vorteil gegenber der herkmmlichen Hinweissuche besteht darin, dass nur fr das
aktuelle Release und Support-Package-Level relevante Hinweise in der Ergebnisliste enthalten sind.
Das bedeutet, dass jeder Hinweis ein Problem in ihrem System lst. Sie mssen nur noch
herausfinden, welcher Hinweis genau ihr vorliegendes Problem lst.

Welche Objekte bei der Suche bercksichtig werden, entscheiden Sie anhand von Einstellungen
innerhalb der Transaktion.

Das Werkzeug erlaubt Ihnen auerdem, eigenen Quelltext, zum Beispiel in Form von BAdIs, UserExits und BTEs, in die Suche mit einzubeziehen.

Voraussetzungen
Ob Sie das Werkzeug verwenden knnen, finden Sie am einfachsten heraus, indem Sie mittels
Transaktionscode ANST_SEARCH_TOOL versuchen, die Transaktion auszufhren. Welches Support
Package Sie fr die SAP-Basis-Komponente bentigen, um das Werkzeug nutzen zu knnen,
entnehmen Sie bitte folgender Tabelle.

Softwarekomponente
SAP_BASIS
SAP_BASIS
SAP_BASIS
SAP_BASIS

Release
700
701
702
731

Support Package
SAPKB70028
SAPKB70113
SAPKB70213
SAPKB73106

brigens: Ab den Support Package Leveln, die Sie der nachfolgenden Tabelle entnehmen knnen,
wurde der Transaktionscode von ANST_SEARCH_TOOL auf ANST verkrzt.

26 / 279

rz10.de - die SAP Basis und Security Experten

Softwarekomponente
SAP_BASIS
SAP_BASIS
SAP_BASIS
SAP_BASIS
SAP_BASIS

Release
700
701
702
740
731

Support Package
SAPKB70030
SAPKB70115
SAPKB70215
SAPKB74005
SAPKB73111

berblick: Praxis
Schauen wir uns die Transaktion einmal an. Die Oberflche ist unterteil in drei Bereiche. Die
Menleiste, Ausfhrungsdaten und Trace-Parameter. Anhand der Nummerierung in der Abbildung
werde ich Ihnen die einzelnen Elemente kurz vorstellen.

1. Ausfhren der unter Ausfhrungsdaten angegebenen Aktion.


2. Programmdokumentation: Ausfhrliche Beschreibung der Grundfunktionalitt.
3. Gesicherte Traces knnen nachtrglich ausgewertet werden. So kann beispielsweise ein
Anwender, der auf einen Fehler stt, diesen mittels ANST replizieren. Der fr den Support
zustndige Mitarbeiter kann den Trace unter Angabe des Benutzernamens und/oder des
Datums den Trace ffnen, ohne den Fehler selbst replizieren zu mssen. Meiner Meinung
nach ein zentraler Vorteil des Tools!
4. Das Objekt-Customizing erlaubt es, Objekte in die Suche ein- oder aus der Suche
auszuschlieen.
5. Unter Einstellungen finden Sie eine weitere Customizing-Tabelle, in der unter anderem
eingestellt werden kann, ab welchem Datum Hinweise bercksichtigt werden und welche
Kundenerweiterungen in die Suche einbezogen werden. Als RFC-Destination muss SAPSNOTE
eingetragen sein.
6. Hier knnen Sie aufgezeichnete Traces lschen. Ein aufgerumtes System erleichtert die

27 / 279

rz10.de - die SAP Basis und Security Experten


7. Whlen Sie die gewnschte Aktion aus und tragen Sie den Transaktions-, Programm- oder
Anwendungsnamen ein.
8. Die Beschreibung und das Sichern der Trace sind optional. Sollten Sie die Trace sichern,
empfiehlt sich eine kurze Beschreibung um die Trace wieder zu finden.

Wir fhren nun die oben dargestellte Aktion aus. Im Hausbankenstamm mchten wir eine IBAN
ndern. Um die Eingabe zu vereinfachen, schalten wir die Eingabeart um.

Nachdem wir die neue IBAN gepflegt haben, mchten wir die Eingabeart erneut umschalten, um die
IBAN einfacher berprfen zu knnen.

28 / 279

rz10.de - die SAP Basis und Security Experten

Beim Wechsel der Ansicht wird die nderung jedoch verworfen, die alte IBAN wird wieder angezeigt.
Zwar erhalten wir hier keine explizite Fehlermeldung, dennoch hilft uns ANST, falls ein Hinweis dazu
existiert, diesen zu finden. Wir schlieen das Popup und springen zurck, bis wir wieder im ANST
sind. Das Werkzeug listet uns nun, aufgetrennt nach Anwendungskomponente, alle durchlaufenen
Objekte auf, die im Objekt-Customizing selektiert sind.

Wir knnen alle Anwendungskomponenten in die Hinweissuche einbeziehen oder bis auf
Objektebene selektieren, was in der Suche bercksichtigt werden soll. Die Zahl in Klammern sagt
aus, wie viele Objekte der Komponente durchlaufen wurden.

Die Ergebnisliste der Hinweissuche: Mit Klick auf die Hinweisnummer ffnet sich der Hinweis im
Browser (S-User erforderlich). Ein Doppelklick auf das Ausfhren-Icon in der ersten Spalte erlaubt das
direkte Herunterladen des Hinweises (Absprung in die Transaktion SNOTE).

29 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Funktionen
Neben der Hinweissuche knnen fr jeden Trace auch der Quelltext des Kunden durchsucht sowie
betroffene Customizing-Tabellen angezeigt werden. Beachten Sie, dass im Kundenquelltext nur die
Objekte bercksichtig werden, die unter Einstellungen markiert sind.
Die Customizing-Tabellen sind nach Anwendungskomponenten
Doppelklick springen Sie direkt zur entsprechenden Tabelle.

aufgegliedert;

durch

einen

Relevante Hinweise
Die Hinweissuche zu ANST_SEARCH_TOOL liefert derzeit 14 Treffer
Nr.
1972513

Kurztext
Freigegeben am
ANST: Include-Objekte fehlen im 31.01.2014
Trace

1964231

ANST: FM ANST_TESTING_AGEN_ 27.01.2014


CHANGE_PARAM:
Fehlerhafte
Nachrichtenbehandlung

1944826

ANST:
Keine
Erkennung 17.01.2014
benutzerspezifischer User-Exits

1818192

FAQ:
Werkzeug
fr
die 08.01.2014
automatisierte
Hinweissuche
(inkl. Guide als PDF)
Tips for using the Advanced 25.11.2013
Note Search Tool (ANST) in SRM

1945396

1918694

ANST: Inkorrekte Fehlermeldung 11.11.2013


bei fehlender Berechtigung

1916483

Auslief.klasse
der
ANST_CUST_OBJ,
ANST_SETTINGS ndern

Tab. 17.10.2013

30 / 279

rz10.de - die SAP Basis und Security Experten


1909768

ANST001
Fatal
Error. 26.09.2013
Customizing table is not filled

1915529

ANST: neuer Transaktionscode

1889975

ANST: Filtern d. Suchhilfe in 12.08.2013


CRM Webclient u. CRM BSP
Frame

1885730

ANST: Trace des CRM WebClient 18.07.2013


abgebrochen

1862303

ANST: CRM WebClient does not 11.07.2013


work in French

1786566

Dynpros
im 27.05.2013
Kundennamensraum entfernen

1778716

Erweiterte
Anwendung
Hinweissuche

25.09.2013

zur 18.02.2013

Interaktives Tutorial

Falls Sie ber einen S-User verfgen, finden Sie hier ein interaktives, englischsprachiges Tutorial

inklusive Quiz am Ende. Viel Spa beim Entdecken

Verwandte Beitrge
SAP Maintenance Optimizer: Support Package Level is unknown

31 / 279

rz10.de - die SAP Basis und Security Experten


Automatische Prfung fr SAP Sicherheitshinweise
SAP Basis und SAP Security Berater von RZ10 buchen

32 / 279

rz10.de - die SAP Basis und Security Experten

Ausplanen eines eingeplanten Importauftrags


von Dominik Busse - Beitrag vom 20. Mrz 2014

Um zu verhindern, dass ein via STMS eingeplanter Importauftrag zum gesetzten Termin importiert
wird, muss dieser ausgeplant werden. Die Option zum Ausplanen eines eingeplanten Importauftrags
befindet sich jedoch nicht in der STMS.

Ausgangssituation
Die Ausgangssituation ist ein zum Import eingeplanter Transportauftrag in der STMS, welcher am
Uhren-Icon in der letzten Spalte zu erkennen ist:

In der STMS finden Sie zwar eine Option zur Importeinplanung eine Option zum Ausplanen von
eingeplanten Importen befindet sich dort jedoch nicht. Tatschlich verbirgt sich hinter einer
Importeinplanung ein Job. Dementsprechend gelingt das Ausplanen des Imports nur, indem Sie den
Job zum Import lschen. Die notwendigen Schritte beschreibe ich im folgenden Tutorial.

Den Jobnamen zum Ausplanen des Importauftrags herausfinden


Den
des Jobs zum
Importauftrag
dem Namen
Transportauftrag
in der
Importqueueerhalten
klicken: Sie, indem Sie doppelt auf das Uhren-Icon hinter

Es ffnet sich ein Dialog welcher Jobname und Jobnummer anzeigt. Orientieren Sie sich am Besten an
der Jobnummer. In diesem Fall ist es Nummer 67:

Ausplanen eines bereits eingeplanten Importauftrags via SM37


Rufen Sie nun die SM37 (Einfache Jobauswahl) auf. In der Transaktion fllen Sie die Suchkriterien wie

33 / 279

rz10.de - die SAP Basis und Security Experten


folgt:

Als Jobname geben Sie TMS* ein, da der Jobname des Importjobs immer mit TMS beginnt.
Weiterhin grenzen Sie auf Ihren Benutzernamen ein, whlen fr den Jobstatus Geplant
und Freigegeben und grenzen den Zeitraum der Selektion durch die Jobstartbedingung ein.
Als Ergebnis erhalten Sie alle Jobs, deren Jobname TMS enthlt und die von Ihnen erstellt wurden. Sie
erkennen den richtigen Job anhand des im vorherigen Schritt ermittelten Jobnamens bzw. anhand der
enthaltenen Jobnummer (hier: Nummer 67):

Zum Ausplanen des Jobs markieren Sie diesen in der ersten Spalte. Nun whlen Sie in der
Menleiste Job Freigegeben->Geplant, um vorerst nur die Freigabe des Jobs zurckzunehmen:

34 / 279

rz10.de - die SAP Basis und Security Experten

Anschlieend knnen Sie den Job endgltig ausplanen, indem Sie den Job lschen. Hierfr markieren
Sie den Job erneut in der ersten Spalten und whlen das Mlleimer-Icon. Den daraufhin
erscheinenden Dialog besttigen Sie mit Ja:

Um das Ergebnis der Ausplanung zu berprfen, schauen Sie sich erneut den betroffenen
Transportauftrag in der STMS an. Das Uhren-Icon, welches die Importeinplanung darstellt, ist nun
verschwunden:

35 / 279

rz10.de - die SAP Basis und Security Experten

Das Ausplanen des eingeplanten Importauftrags war erfolgreich.


Welche Erfahrungen haben Sie mit dem Ein- und Ausplanen von Importen gemacht? Welche
Informationen wnschen Sie sich noch zu diesem Thema? Ich freue mich auf Ihre Kommentare und
Ihr Feedback gleich unterhalb dieses Beitrags!

Verwandte Beitrge
TP Befehle zur Transportsteuerung
Transportauftrag aus Importqueue lschen
SAP Transport Status zurcknehmen
Spool-Auftrge manuell lschen
Transporteur zu SAP Transport ermitteln
SYNCMARK blockiert Importqueue: wrong syntax in tp call
Importeinplanung von Transportauftrgen via STMS

36 / 279

rz10.de - die SAP Basis und Security Experten

Authentifizierung und Verschlsselung beim E-Mail-Versand


von Florian Lucht - Beitrag vom 18. Dezember 2014

In einem frheren Beitrag hat Tobias Harmes gezeigt, wie der E-Mail-Versand ber einen SMTPServer im SAP-System schnell eingerichtet ist. Seit Netweaver Version 7.3 EHP 1 wird nun auch die
Mglichkeit der Authentifizierung und Verschlsselung beim E-Mail-Versand mittels SSL/TLS
untersttzt.

Die ntigen Einstellungen finden Sie, wie alle weiteren Angaben fr die Einrichtung des
Emailversands, in der Transaktion SCOT.

Falls Ihr SAP-System diese Mglichkeit noch nicht untersttzt (< 7.3 EHP1), empfehlen wir Ihnen
folgende zwei Mglichkeiten:
Die einfachste Variante besteht darin, den SMTP-Server als Relay fr das SAP-System zu verwenden.
Das heit, aus dem SAP-System heraus knnen ohne Authentifizierung am Mailserver Nachrichten an
jede E-Mail-Adresse verschickt werden. Eine Eingrenzung des Zieladressbereichs kann im SAPSystem selbst erfolgen. Der SMTP-Server fungiert also nur als Weiterleitung. Die Einstellungen hierfr
mssen am Mailserver vorgenommen werden. Meist erfolgt dies ber das Eintragen der IP-Adresse
des SAP-Systems in einer entsprechenden Whitelist auf dem Mailserver (z.B. Exchange). Bedenken
Sie, dass dies fr jede Systemlinie, von der E-Mails versendet werden sollen, vorgenommen werden

37 / 279

rz10.de - die SAP Basis und Security Experten


muss.
Ein alternativer Ansatz besteht darin, zwischen SAP-System und Mailserver einen weiteren Service
als Vermittler einzurichten. Dieser nimmt die Nachrichten unverschlsselt und ohne
Authentifizierung aus dem SAP-System an und bertrgt diese verschlsselt an den Mailserver. Diese
Mglichkeit bietet sich insbesondere fr SAP-Systeme an, welche unter Linux laufen. Das
Betriebssystem verfgt hier meist schon ber passende Werkzeuge wie sendmail oder postfix.
Unter Windows wird zustzliche Software bentigt, wie zum Beispiel hMailServer.
Weiterfhrende Informationen:
Hinweis 455140 Konfiguration Email,Fax,Paging/SMS ber SMTP
Hinweis 607108 Problemanalyse beim Versand oder Empfang von Emails

Verwandte Beitrge
SAP Emailversand einrichten und testen
SAP Basis und SAP Security Berater von RZ10 buchen
CCMS-Alerts per E-Mail erhalten

38 / 279

rz10.de - die SAP Basis und Security Experten

Automatische Prfung fr SAP Sicherheitshinweise


von Tobias Harmes - Beitrag vom 13. Mai 2014

Auch die SAP bleibt nicht von Sicherheitslcken verschont, wie der jngst erschienene Blogbeitrag
SAP Heartbleed: Kein OpenSSL kein Problem? meines Kollegen Tobias Harmes zeigt. Glcklicher
Weise reagiert die SAP sehr schnell auf diese Risiken und verffentlich zeitnah SAP Hinweise, um die
Sicherheitslcken zu schlieen. Zustzlich findet monatlich ein sogenannter Patch Day der SAP statt,
zu dem auch sicherheitsrelevante SAP Hinweise verffentlicht werden.

Doch die schnelle Reaktionszeit der SAP bleibt vllig wirkungslos, wenn die SAP Hinweise nicht
zeitnah implementiert werden. Oft ist aber auch gar nicht bekannt, welche SAP Sicherheitshinweise
im eigenen System bereits vorhanden oder notwendig sind. Wie Sie sich an dieser Stelle das Leben
leichter machen knnen, werde ich Ihnen im Folgenden darlegen.

Nur ein Sicherheitsscan bringt keine Sicherheit.


Wir erstellen individuelle SAP Security-Konzepte fr Ihr Unternehmen und helfen bei der
Behebung von Schwachstellen. Deshalb haben wir dafr auch ein passendes
Angebot: Security-Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Die SAP hat fr diesen speziellen Fall ein eigenes Tool entwickelt, das Bestandteil der Software
Komponente ST-A/PI ab Release 01M_* ist. Das Tool heit RSECNOTE und wird ber den SAP Hinweis
888889 im System implementiert. RSECNOTE untersucht ihr System nach bereits implementierten
Sicherheitshinweisen und listet diese bzw. die noch zu implementierenden Sicherheitshinweise auf.

Wichtig ist, dass Sie die Implementierungs-/Konfigurationsschritte gem dem Hinweis durchfhren
und sich die Berechtigungen wie im Hinweis beschrieben vergeben, damit Sie das Tool fehlerfrei
verwenden knnen.

39 / 279

rz10.de - die SAP Basis und Security Experten


Nachdem Sie die Implementierung abgeschlossen haben, knnen Sie ber die Transaktion ST13, in
neueren Releases auch die Transaktion SA38, verwenden. Geben Sie dort, wie in der Abbildung
dargestellt, jeweils im Eingabefeld das Programm RSECNOTE ein und fhren Sie es aus.

Sie erhalten anschlieend die schon angesprochene Liste mit implementierten bzw. noch zu
implementierenden SAP Hinweisen.

40 / 279

rz10.de - die SAP Basis und Security Experten

Wie halten Sie Ihre Systeme sicherheitstechnisch auf dem neusten Stand? Ich freue mich auf Ihre
Kommentare.

Verwandte Beitrge
SAP Sicherheitslcke in der Transaktion SUIM
ANST - Werkzeug fr die automatisierte Hinweissuche
SAP Heartbleed: Kein OpenSSL - kein Problem?
Google Chrome Extension - SAP Any Search
SAP Basis und SAP Security Berater von RZ10 buchen

41 / 279

rz10.de - die SAP Basis und Security Experten

42 / 279

rz10.de - die SAP Basis und Security Experten

Benutzerstammstze exportieren und importieren


von Silvia Scholer - Beitrag vom 16. Mai 2014

Wird ein Refresh auf einem System durchgefhrt so ist es notwendig, die Benutzerstammstze
inklusive der zugewiesenen Profile (Berechtigungsrollen) zu exportieren und nach dem Refresh
wieder zu importieren.
Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Dazu die Transaktion SCC8 (Mandantenexport) im jeweiligen Mandanten aufrufen. Als Selektiertes
Profil SAP_USER auswhlen um die Benutzerstmme mit den zugewiesenen Profilen zu exportieren.
Bei anderen Profilen, wie beispielsweise SAP_ALL wird der ganze Mandant exportiert.

43 / 279

rz10.de - die SAP Basis und Security Experten

Beim Zielsystem wird das System mit dem Mandanten angegeben, in welches Transportverzeichnis
des Zielsystems der Transportauftrag kopiert werden soll.

Nach Angabe der notwendigen Informationen kann der Export beginnen.

44 / 279

rz10.de - die SAP Basis und Security Experten

Es erscheint eine bersicht, in der noch einmal kontrolliert werden kann, ob das richtige System und
das richtige Profil (SAP_USER) gewhlt wurde. In der nachfolgenden Abbildung werden die Profile mit
den Benutzerdaten exportiert.

Als Information werden die Transportauftrge angezeigt, die fr den Transport in der STMS
notwendig sind. Diese mssen manuell in den Transportpuffer eingetragen werden um fr den
Import bereit zu stehen.

45 / 279

rz10.de - die SAP Basis und Security Experten

ber die Protokollanzeige kann berprft werden, ob der Export erfolgreich war. Alternativ kann der
Export ber die SCC3 kontrolliert werden.

Durch Doppelklick auf die Zeile wird angezeigt wie viele Eintrge exportiert werden.

46 / 279

rz10.de - die SAP Basis und Security Experten

ber die SCC8 knnen nicht nur Benutzerstmme und Profile sondern unter anderem auch ganze
Mandanten (Profil SAP_ALL) in ein anderes System transportiert werden.
Welche Erfahrungen haben Sie mit dem Export von Benutzerstmmen gemacht? Ich freue mich auf
Ihre Kommentare.

Verwandte Beitrge
Sind Ihre Organisationsebenen in Rollen richtig gepflegt?
Mandantenbergreifende SAP Benutzerliste erstellen
Mandantenkopie
Zustzliche Filter bei der SUIM-Abfrage hinzufgen
SAP Basis und SAP Security Berater von RZ10 buchen

47 / 279

rz10.de - die SAP Basis und Security Experten

Betriebssystembefehle via Transaktion ausfhren


von Dominik Busse - Beitrag vom 17. Juni 2014

Sie haben keinen direkten Zugriff auf die Betriebssystem-Ebene eines SAP-Systems, mchten aber
dennoch Betriebssystembefehle ausfhren. Mit der folgenden Transaktion ist das Ausfhren von
Betriebssystembefehlen ohne direkten Betriebssystem-Zugriff mglich.
Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Die Transaktion SM49 ermglicht das Ausfhren externer Betriebssystembefehle aus dem SAPSystem heraus. Dabei knnen Sie einerseits auf vordefinierte Betriebssystembefehle zurckgreifen
und andererseits weitere Betriebssystembefehle hinzufgen. Beide Szenarien werden im Folgenden
erlutert.

Externe Betriebssystembefehle ausfhren:


Fhren Sie zunchst die Transaktion SM49 Externe Betriebssystemkommandos aus. Sie sehen eine
bersicht ber alle vordefinierten Betriebssystembefehle:

48 / 279

rz10.de - die SAP Basis und Security Experten

Um einen Betriebssystembefehl auszufhren, klicken Sie doppelt auf den gewnschten Befehl. In
diesem Beispiel whlen wir den Betriebssystembefehl PING aus. Es ffnet sich die Detailansicht des
Befehls:

49 / 279

rz10.de - die SAP Basis und Security Experten

In der Detailansicht werden die Grundinformationen zum ausgewhlten Befehl angezeigt so zum
Beispiel der Typ des Betriebssystems (z.B. Windows) auf dem der Befehl ausgefhrt wird. Nach dem
Klick auf Ausfhren kann der Befehl weiter spezifiziert werden. Im Beispiel des Ping-Befehls muss
schlielich noch eine IP-Adresse oder der Name eines Rechners als Parameter bergeben werden.
Daraufhin kann der Befehl entweder direkt im Dialog ausgefhrt werden [Ausfhren (F8)] oder
(zeitversetzt) im Hintergrund [Ausfhren im Hintergrund (F9)]. Im Folgenden wird der Ping-Befehl
direkt auf localhost ausgefhrt:

50 / 279

rz10.de - die SAP Basis und Security Experten

Mit dem Klick auf Ausfhren wird der Befehl direkt ausgefhrt und die Ausgabe des
Betriebssystembefehls wird angezeigt:

51 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Betriebssystembefehle selbst definieren:


Neben den vordefinierten Befehlen knnen Sie auch eigene/weitere Befehle die im Rahmen des
hinterlegten Betriebssystems mglich sind definieren. Hierfr klicken Sie im Einstiegsbildschirm der
Transaktion auf das Anlegen-Icon:

52 / 279

rz10.de - die SAP Basis und Security Experten

In dem Dialog zum Anlegen eines Betriebssystembefehls mssen Sie folgende Informationen
hinterlegen:
Kommandoname: Der Titel des definierten Befehls, welcher in der bersicht im Einstiegsbildschirm
angezeigt wird. Wichtig: Der Name eigens definierter Betriebssystembefehle muss im
Kundennamensraum liegen und mit Z oder Y beginnen.
Betriebssystem: Hier geben Sie das Betriebssystem an, auf welchem das SAP-System luft. Whlen
Sie hierfr das Feld aus und ffnen Sie die Wertehilfe mit F4. Anschlieend knnen Sie ein
bestimmtes Betriebssystem oder ANYOS auswhlen, um den Befehl betriebssystemunabhngig zu
hinterlegen.
Betriebssystem-Kommando: Hier geben Sie den eigentlichen Betriebssystembefehl an, welcher
ausgefhrt werden soll.
Parameter fr Betriebssystem-Kommando: In diesem Feld knnen Sie feste Parameter hinterlegen,
die mit dem Befehl ausgefhrt werden sollen.
Zustzliche Parameter erlaubt: Setzen Sie den Haken, um zustzliche Parameter beim Ausfhren des
Befehls zu erlauben.
Zur Veranschaulichung zeigt der folgende Screenshot das beispielhafte Anlegen eines externen
Kommandos fr den Betriebssystembefehl help:

53 / 279

rz10.de - die SAP Basis und Security Experten

Letztendlich taucht der eigens definierte Betriebssystembefehl in der bersicht im Einstiegsbild auf
und kann wie oben beschrieben ausgefhrt werden.

Sicherheitshinweis: Zugriff limitieren!


Der Zugriff auf die SM49 und das Ausfhren von Betriebssystembefehlen aus dem SAP-System
heraus ist aus sicherheitstechnischer Sicht natrlich hchst kritisch und sollte deswegen sehr
limitiert werden. Beim ffnen der Transaktion und Ausfhren von Befehlen werden die folgenden
Berechtigungsobjekte geprft:

54 / 279

rz10.de - die SAP Basis und Security Experten

Neben dem obligatorischen S_TCODE fr das Ausfhren der Transaktion an sich, ist hierbei das
Berechtigungsobjekt S_LOG_COM interessant, welches beim Aushren eines Betriebssystembefehls
geprft wird. Es besteht aus den drei Berechtigungsfeldern:
COMMAND: In der Transaktion definierter Name des Betriebssystemkommandos
OPSYSTEM: Betriebssystem des Zielsystems (bspw. WINDOWS NT, ANYOS, AIX, UNIX)
HOST: Hostname des Zielsystems
ber dieses Berechtigungsobjekt knnen Sie das Ausfhren einzelner Betriebssystembefehle
limitieren.
Welche Erfahrungen haben Sie mit dem Ausfhren und Anlegen von Betriebssystembefehlen ber
die SM49 gemacht? Gab es bereits Situationen, in denen Sie auf diese Mglichkeit zurckgreifen
mussten? Ich freue mich auf Ihre Kommentare und Antworten!

Verwandte Beitrge
SAP Speichermodell in Windows Umgebungen
TP Befehle zur Transportsteuerung
Netzwerkverbindungen aus dem SAP testen
Betriebssyteminformationen aus dem SAP heraus analysieren

55 / 279

rz10.de - die SAP Basis und Security Experten


SAP Basis und SAP Security Berater von RZ10 buchen

56 / 279

rz10.de - die SAP Basis und Security Experten

Betriebssyteminformationen aus dem SAP heraus analysieren


von Tobias Harmes - Beitrag vom 13. Februar 2012

Externes Hosting und Funktionstrennung machen mittlerweile die Suche nach Ursachen fr
Performance Engpsse zu einer Aufgabe mit vielen Beteiligten. Es gibt aber durchaus einige SAP
Transaktionen, mit denen man auch ohne Root-Prompt und Zugriff auf den Solution Manager
Informationen ber den Teil unterhalb des ABAP Stacks sammeln kann.
OS07N Operating System Monitor (neu)

DieOS07N (Report RSHOST1N) bietet eine schnelle bersicht ber Betriebssysteminformationen und
Speicherauslastung. Vor allem aber kann man schnell zwischen den Applikationsservern hin und her
springen und so sich einen guten berblick ber alle beteiligten Systeme verschaffen. Die Daten
basieren auf Informationen die via CCMS und dem saposcol (Operating System Collector)
eingesammelt werden.

ST06 Operating System Monitor (alt)

Da vor allem die historischen Werte in der OS07N oft nicht abrufbar sind und erst konfiguriert
werden mssen, leistet die ST06 weiterhin gute Dienste. Tipp: Auf den jeweiligen Applikationsserver
kann man ber die SM51 springen: Doppelklick auf den Applikationsserver ffnet einen neuen Modus
auf dem Applikationsserver.

57 / 279

rz10.de - die SAP Basis und Security Experten

Daily Averages Last 30 Days erlaubt einen berblick ber die letzten 30 Tage. ber Details kann
man sich dann wiederumm die Details fr einen Tag auswhlen.

58 / 279

rz10.de - die SAP Basis und Security Experten


Wenn man More information auswhlt kann man durch die verschiedenen Sichten CPU, Memory,
Disk times, LAN, Filesystem statistics durchschalten.

Report RSBDCOS0 Betriebssystemkommandos ausfhren

Mit dem Report RSBDCOS0 kann man Befehle auf Betriebssystemebene absetzen allerdings im
Kontext des SAP System-Users. Also zum Beispiel <sid>adm oder SAPService<SID>. Dort gehen
dann natrlich nur Befehle die keine root/Administrator-Berechtigungen bentigen.

Verwandte Beitrge
Die neue SAP Transaktion SU53 - Zu Risiken und Nebenwirkungen
Systemauslastung aufzeichnen und analysieren
Betriebssystembefehle via Transaktion ausfhren

59 / 279

rz10.de - die SAP Basis und Security Experten

brbackup Fehler: ORA-01149 cannot shutdown file 1 has


online backup set
von Timo Eckhardt - Beitrag vom 28. Oktober 2013

Ein Backup mit brtools schlgt mit folgendem Hinweis fehl:


ORA-01149: cannot shutdown file 1 has online backup set

Ein zuvor gestartetes Backup wurde nicht vollstndig abgeschlossen.


Auf Betriebssystemebene berprfen ob noch ein brbackup Prozess luft:
ps -ef|grep brbackup
Wenn man brbackup manuell ausfhrt erhlt man folgende Fehler:
BR0051I BRBACKUP 7.20 (17)
BR0055I Start of database backup: bhekdmo.anf 2013-10-28 08.41.38
BR0484I BRBACKUP log file: /oracle/<SID>/sapbackup/bhekdmo.anf
BR0477I Oracle pfile /oracle/<SID>/112_64/dbs/init<SID>.ora created
/oracle/<SID>/112_64/dbs/spfile<SID>.ora

from

spfile

BR0280I BRBACKUP time stamp: 2013-10-28 08.41.39


BR0319I Control file copy created: /oracle/<SID>/sapbackup/cntrl<SID>.dbf 19546112
BR0328E Database file /oracle/SID/sapdata1/system_1/system.data1 of tablespace SYSTEM is
already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/sysaux_1/sysaux.data1 of tablespace
SYSAUX is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/undo_1/undo.data1 of tablespace PSAPUNDO
is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_1/datdb.data1 of tablespace PSAPSR3
is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/keymap_1/keymap.data1 of tablespace
PSAPKEYMAP is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_2/datdb.data2 of tablespace
PSAPSR3 is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_3/datdb.data3 of tablespace
PSAPSR3 is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_4/datdb.data4 of tablespace
PSAPSR3 is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_5/datdb.data5 of tablespace
PSAPSR3 is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_6/datdb.data6 of tablespace
PSAPSR3 is already in backup status
BR0328E Database file /oracle/<SID>/sapdata1/datdb_7/datdb.data7 of tablespace
PSAPSR3 is already in backup status

60 / 279

rz10.de - die SAP Basis und Security Experten


BR0056I End of database backup: bhekdmo.anf 2013-10-28 08.41.40
BR0280I BRBACKUP time stamp: 2013-10-28 08.41.40
BR0054I BRBACKUP terminated with errors
########################################################
#######################
BR0292I Execution of BRBACKUP finished with return code 3

BR0280I BRTOOLS time stamp: 2013-10-28 08.41.40BR0668I Warnings or errors occurred you can
continue to ignore them or go back to repeat the last action
Diese Fehlermeldung zeigt, welche tablespaces sich noch im backup status befinden, diese mssen
manuell festgelegt werden. Folgende Optionen knnen durchgefhrt werden um den Fehler zu lsen:
berprfen ob im Verzeichnis oracle/<SID>/sapbackup eine Sperrdatei liegt, falls ja muss diese
entfernt werden
Nun muss man manuell den backup status auf backup end setzen, sodass danach ein Backup
durchgefhrt werden kann

SQL> select status from v$backup;


STATUS

ACTIVE
ACTIVE
ACTIVE
ACTIVE
ACTIVE
ACTIVE
ACTIVE
ACTIVE
*** rows selected.

> Hier sieht man, dass der Backup Status noch auf active gesetzt ist.
Um den Status manuell zu ndern, muss man fr jeden tablespace folgenden Befehl absetzen:
SQL> alter tablespace PSAPSR3 end backup;
Output> Tablespace altered.

Zur Kontrolle kann man noch einmal folgenden Befehl ausfhren. Hier sollte berall der Status NOT
ACTIVE stehen

61 / 279

rz10.de - die SAP Basis und Security Experten


SQL> select status from v$backup;
STATUS

NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
NOT ACTIVE
*** rows selected.

Nun kann man manuell erneut ein Backup anstarten und man wird sehen, dass das Backup ohne den
oben aufgefhrten Fehler erfolgreich gestartet werden kann.

Verwandte Beitrge
SAP Oracle Listener startet nicht
ndern der SAP Job Benutzer
Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS

62 / 279

rz10.de - die SAP Basis und Security Experten

CCMS-Alerts per E-Mail erhalten


von Dominik Busse - Beitrag vom 25. September 2014

In diesem Tutorial mchte ich erlutern, wie Sie als SAP Basisadministrator den CCMS-Alert-Monitor
konfigurieren, um CCMS-Alerts per E-Mail zu erhalten.
Das SAP-eigene berwachungstool Computing Center Management System Monitor (CCMS-Monitor)
ist ein mchtiges Tool zum berwachen des eigenen SAP-Systems. Um schnell auf (kritische)
Ereignisse reagieren zu knnen, knnen Sie den CCMS-Monitor so konfigurieren, dass Sie CCMSAlerts per E-Mail erhalten, sobald der Monitor Alarm schlgt.

In diesem Tutorial zeige ich, wie Sie E-Mail-Benachrichtigungen fr einzelne Monitoring Tree
Elements (MTE) aktivieren knnen.

CCMS-Alerts per E-Mail erhalten die Konfiguration:


Melden Sie sich zunchst im zu berwachenden System an und rufen Sie die
Transaktion RZ20 auf. Sie erhalten eine bersicht ber Ihre CCMS-Monitorsammlung.
Whlen Sie dann einen Monitor durch Doppelklick aus:

63 / 279

rz10.de - die SAP Basis und Security Experten

Anschlieend haken Sie das MTE an, fr welches Sie CCMS-Alerts per E-Mail erhalten
mchten und klicken auf Eigenschaften:

64 / 279

rz10.de - die SAP Basis und Security Experten

Auf dem Reiter Methoden knnen Methoden fr automatische Reaktionen definiert werden.
Wechseln Sie nun auf den Reiter Methoden:

65 / 279

rz10.de - die SAP Basis und Security Experten

Klicken Sie nun auf den Button Methodenzuordnung (siehe Bild oben) und wechseln Sie dann
auf den Karteireiter Autoreaktion und aktivieren Sie den nderungsmodus:

66 / 279

rz10.de - die SAP Basis und Security Experten

Im Bildschirmbereich Methodenzuordnung whlen Sie Methodenname aus, klicken in das


Textfeld und rufen via F4 die Wertehilfe auf. Es erscheint eine Liste aller verfgbaren
Methoden. Um CCMS-Alerts per E-Mail zu erhalten bentigen wir die Methode
CCMS_OnAlert_Email bzw. CCMS_OnAlert_Email_V2. Letztere unterscheidet sich insofern, als
dass initial mehr Parameter zur Konfiguration der versendeten E-Mail bereitgestellt werden.

67 / 279

rz10.de - die SAP Basis und Security Experten

Ein Doppelklick auf den Methodennamen im Textfeld ffnet die Konfiguration der Methode.
Auf dem Karteireiter Parameter knnen Sie den CCMS-Alert per E-Mail konfigurieren:

68 / 279

rz10.de - die SAP Basis und Security Experten

Die Parameter der Methode CCMS_OnAlert_Email_V2 im Detail:


SENDER: SAP-Benutzer der Person, in dessen Namen die E-Mail versendet wird.
RECIPIENT: SAP-Benutzername, Verteilerliste oder externe E-Mail-Adresse. Falls Sie eine E-Mail an
mehrere externe E-Mail-Adressen versenden mchten, mssen Sie zunchst einen Verteiler im
Mandant 000 anlegen. Falls der angegebene SAP-Benutzername nicht im Mandant 000 existiert,
mssen Sie zustzlich System und Mandant wie folgt angeben: SYSTEM:MANDANT:USERID (z.B.
S1D:100:BUSSE).
RECIPIENT-TYPEID: Kennzeichen fr den Adresstyp in Abhngigkeit des angegeben RECIPIENT. U
fr externe Internetadresse, C fr Verteilerliste, B fr SAP-Benutzername.
REACT_ON_ALERTS: Optionaler Parameter mit welchem Sie zustzlich steuern knnen, in welchen
Fllen die E-Mail versandt wird. Mgliche Werte sind YELLOW oder RED.
SUBJECT_ALERT: Betreffzeile der CCMS-Alert-E-Mail.
SUBJECT_ALERT_CONT: Inhalt der CCMS-Alert-EMail.
Wenn Sie alle Parameter gepflegt haben, klicken Sie auf Speichern und die Methode ist aktiv.
Beim nchsten Alarm sollten Sie zur der betreffenden MTE CCMS-Alerts per E-Mail erhalten.
Haben Sie bereits Erfahrungen mit dieser Autoreaktionsmethode gesammelt? Vielleicht haben Sie ja

69 / 279

rz10.de - die SAP Basis und Security Experten


Tipps fr MTEs, bei denen ein CCMS-Alert per E-Mail besonders sinnvoll/praktisch ist? Ich freue mich
auf Ihre Kommentare und Ihr Feedback!

Verwandte Beitrge
SAP Emailversand einrichten und testen
berwachungspause im Solution Manager fr ein System einplanen
Einrichten des Alertings mittels Solution Manager
Fehlerhafte Darstellung der Alert Inbox
Authentifizierung und Verschlsselung beim E-Mail-Versand

70 / 279

rz10.de - die SAP Basis und Security Experten

Datenbankgre wird im EarlyWatchAlert und DBACOCKPIT


nicht angezeigt
von Tobias Harmes - Beitrag vom 3. Mai 2012

Nach einem Upgrade von R/3 4.7 auf ECC 6.0 werden im EarlyWatchAlert keine Informationen ber
die Datenbankgre mehr angezeigt. Das ERP-System luft mit einem SQL Server 2005.
In der neuen Transaktion DBACOCKPIT wird der Fehler SQL-Fehler 208 Invalid object name
sap_tabstats' gemeldet, wenn man die Tabellenstatistiken aufruft. Der Hinweis 1027512 enthielt
den richtigen Wink:
Die Jobkonfiguration fr die neue Datensammelmethode fr die Tabellengrenhistorie knnen Sie
ber DBACOCKPIT -> Platz -> Historie -> Tabellengrenhistorie -> Job-Konfiguration aufrufen.
[]
Der Name des SQL-Agent-Jobs lautet SAP CCMS_<sid>_<SID>_Update_Tabstats.
Genau dieser Job (im Enterprise Manager unter SQL Server Agent>Jobs einsehbar) ist permanent auf
einen Fehler gelaufen. Der Grund dafr war, dass die unterliegende Datenbank noch mit einem
Default-Schema dbo arbeitet. Zu sehen war das auch an den Job-Namen: CCMS_dbo_<SID>_*.
Allerdings gab es fr den Datenbankuser dbo keinen Login.

Lsung hierfr: Einen neuen Security Login dbo anlegen.


Die Schwierigkeit dabei war, dass in der SAP Datenbank bereits ein User dbo vorhanden war, und
daher kein User Mapping auf den Datenbankuser angelegt werden durfte.
Dies kann man allerdings erreichen in dem man folgendes SQL-Script ausfhrt (ersetze <SID> durch
die eigene SID), und damit den User dbo zum Datenbankowner der SAP Datenbank macht:
use <SID>
exec sp_changedbowner dbo';
go
In den Eigenschaften des Login-Users dbo kann man dann prfen, dass das User Mapping korrekt
auf SAP Datenbankuser dbo mit Default Schema dbo konfiguriert ist.

71 / 279

rz10.de - die SAP Basis und Security Experten

Danach konnte der Job direkt unter SQL Server Agent>Job>CCMS_<sid>_<SID>_Update_Tabstats


ausgefhrt werden und die Tabellenstatistiken werden nun wieder korrekt angezeigt.

Verwandte Beitrge
TREX Monitoring mit Solution Manager Diagnostics
SAP NW IdM 7.1 Hinzufgen eines JDBC-Treibers zum Dispatcher
SDCCN manuell konfigurieren

72 / 279

rz10.de - die SAP Basis und Security Experten

Download von SAP Sprachpaketen


von Tobias Harmes - Beitrag vom 8. Mai 2011

SAP bietet fr viele verschiedene Sprachen Untersttzung an. Mchte man z.B. eine neue Sprache in
das System importieren kann dafr die Transaktion SMLT (Sprachenmanagement) genutzt werden.
Zum Finden des Downloadpakets muss zunchst der SAP Language code ermittelt werden, z.B. auf
der Globalization-Unterseite: https://service.sap.com/languages
Auf der Seite werden alle untersttzten Sprachen aufgefhrt. Whlt man eine an, so erhlt man den
ISO Code (2-Letter, for System Logon) , ein zwei-Buchstaben Krzel. Bei Tschechisch z.B. ist dieser
zum Beispiel CS und nicht etwa CZ.
Mit dieser Information kann man dann wie gewohnt in das Downloadcenter gehen
(https://service.sap.com/swdc ) und unter Installation and Upgrades nach der eingesetzten
Software suchen. Dort werden dann z.B. bei NetWeaver auch die Sprachen-CDs mit aufgefhrt. Wenn
der ISO Code nicht schon mit Strg+F auf der Seite zu finden ist, muss man ggf. dem Info-Link der
Sprachen-CDs folgen. Dort steht auch, ob es sich um ein multi-archiv handelt. In dem Fall muss man
alle Sprachen-CDs/Archive herunterladen, um sie gemeinsam zu entpacken.

Siehe auch Hinweis 330104.

Verwandte Beitrge
Sprachpakte in SAP aktivieren - select one of the installed languages
Anmeldesprache fr SAP Dialogbenutzer festlegen

73 / 279

rz10.de - die SAP Basis und Security Experten

74 / 279

rz10.de - die SAP Basis und Security Experten

Dumps nach Abbruch der SPAM


von Timm Funke - Beitrag vom 16. September 2011

Beim Einspielen von SAP Support Packages bricht die SPAM ab oder der Client verliert die Verbindung
zum SAP System.

Das Fehlerbild ist dann abhngig davon, in welcher Phase dies geschehen ist. Mir ist es gerade im
Main Import passiert.

Meldet man sich nun wieder am SAP System an, wird man von einer Vielzahl Dumps freundlich
begrt

Ein Aufruf der SPAM fhrt ebenfalls zu Dumps (Laufzeitfehler: SYNTAX_ERROR).

Das SLOG (usr/sap/trans/log/SLOG.SID) sah so aus:

STOP MAIN IMPORT <SID> I 20110915141958 SAPUSER <HOST> 20110915123207347


ERROR: stopping on error 12 during MAIN IMPORT
HALT 20110915141958
ERROR: uncaught internal error: ORA-03114: not connected to ORACLE
ERROR: EXIT(16) -> process ID is: 18929
STOP imp all <SID> 0016 20110915141958 SAPUSER <HOST> 20110915123207347
START MAIN IMPORT <SID> I 20110915144329 <SID>adm <HOST> 20110915144329001bdd
START MAIN IMPORT <SID> I 20110915144355 <SID>adm <HOST> 20110915144355001c4a
ERROR SAPKB70207 <SID>
20110915144355001c4a

0012

20110915144630

SAPUSER

<SID>adm

<HOST>

STOP MAIN IMPORT <SID> I 20110915144632 <SID>adm <HOST> 20110915144355001c4a


ERROR: stopping on error 12 during MAIN IMPORT
In diesem Fall muss man das Einspielen der Support Packages von Hand ber das Betriebssystem
vornehmen:

tp R3I all <SID> pf=/usr/sap/trans/bin/TP_DOMAIN_<SID>.PFL tag=spam -Dclientcascade=yes


-Dstoponerror=8 -Drepeatonerror=8 -Dsourcesystems= -Dtransdir=/usr/sap/trans

75 / 279

rz10.de - die SAP Basis und Security Experten


Mit diesem Befehl wird dann die komplette Queue neu importiert.

Bricht der Befehl ab, sollte man ihn zuerst noch einmal wiederholen.

Anschlieend kann man die SPAM wieder aufrufen und die Nacharbeiten des Imports ausfhren
lassen, in dem man die Queue dort wieder einspielt.

Ist der Abbruch nur bei einem Paket passiert, kann man sich auch erst den Buffer anzeigen lassen:

tp showbuffer <SID> pf=/usr/sap/trans/bin/TP_DOMAIN_SCD.PFL tag=spam

und anschlieend eben jenes Packet von Hand einspielen:


tp
R3I
SAPKB70207
<SID>
pf=/usr/sap/trans/bin/TP_DOMAIN_<SID>.PFL
tag=spam
Dclientcascade=yes
-Dstoponerror=8
-Drepeatonerror=8
-Dsourcesystems=
-Dtransdir=/usr/sap/trans

Verwandte Beitrge
Laufzeitfehler DDIC_TYPELENG_INCONSISTENT
SYNCMARK blockiert Importqueue: wrong syntax in tp call

76 / 279

rz10.de - die SAP Basis und Security Experten

Fehler "unable to save the local file information" im SAP


Download Manager
von Tobias Harmes - Beitrag vom 25. August 2011

Heute begrte mich der SAP Download Manager auf einem unserer Server mit der Information
Unable to save the local file information: the store file could not be found. Leider kannte die
XSEARCH der SAP zwar diese Fehlermeldung, aber keine Lsung.

Nach mehreren Neuinstallationen und auch einer Neuinstallation der Java JRE (32 Bit!) war die
Fehlermeldung immer noch da. Damit war klar: ich brauche den ProcessMonitor von Sysinternals, um
dem Problem auf die Spur zu kommen. Und siehe da, der Trace zeigte, dass der Download Manager
ein ACCESS DENIED beim Anlegen der Datei dlclient.localstate bekommen hat.

Nachdem ich diese Datei gelscht hatte, hat der SAP Download Manager wieder ordnungsgem
funktioniert.

Verwandte Beitrge
Effizientes Application Lifecycle Management mit dem SAP Solution Manager 7.1
Pakete im Download Basket besttigen ohne MOPZ
SAP Kernel Update durchfhren

77 / 279

rz10.de - die SAP Basis und Security Experten

78 / 279

rz10.de - die SAP Basis und Security Experten

Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO
von Timm Funke - Beitrag vom 26. Juni 2011

Fr ein SAP NetWeaver Portal soll SSO eingerichtet werden. Die Userverwaltung (UME) ist dabei an
einen ABAP Stack angebunden.
Auf Basis des SPNEGO CONFIGURATION GUIDE der SAP wurde SPNEGO konfiguriert.
Dabei ist zu beachten, dass es ab Netweaver 7.01 SP8 ein neueres SPNEGO-Modul gibt
(https://service.sap.com/sap/support/notes/1457499 ).
Nach dem Deployen des neuen Login Modul gab es folgenden Fehler:
Could not validate SPNEGO token. [EXCEPTION]
java.lang.Exception: Checksum error
at com.sap.security.spnego.krb5.crypto.DesCrypto.decrypt (DesCrypto.java:43)
at com.sap.security.spnego.krb5.KrbEncryptedData.decrypt (KrbEncryptedData.java:81)
at com.sap.security.spnego.krb5.KrbApReq.decrypt(KrbApReq.java:67)
atcom.sap.security.spnego.SPNEGOLoginModule.parseAndValidateSPNEGOToken(SPNEGOLoginModu
le.java:234)
at
com.sap.security.spnego.SPNEGOLoginModule.processAuthorizationHeader
(SPNEGOLoginModule.java:385)
at com.sap.security.spnego.SPNEGOLoginModule.login (SPNEGOLoginModule.java:102)

Dieser Fehler taucht auf Grund eines ungltigen Keytab Files auf. Dieses kann man dann nach dem
SAP Hinweis 1568553 neu anlegen.
Wichtig ist noch, dass die Einstellung fr das SPNEGO Modul im Visual Admin ( unter ticket
authentication) richtig vorgenommen wurde:
Visual Admin Server Services Security Provider
ticket component
SPNEGOLoginModule muss auf REQUISITE und nicht auf SUFFICIENT eingestellt sein.

Verwandte Beitrge
SAP Portal Anmelde-Popup beim ffnen von MS Office-Dateien
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible
Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario
Single Sign On mit KeePass

79 / 279

rz10.de - die SAP Basis und Security Experten

80 / 279

rz10.de - die SAP Basis und Security Experten

Fehler beim BI_CONT einspielen: Quellsystem existiert nicht


von Tobias Harmes - Beitrag vom 29. Januar 2012

Bei der Aktualisierung des BI Contents (auf BI_CONT 7.06) gab es in der SAINT einen Abbruch in der
Phase RS_DTRF_AFTER_IMPORT/XPRA_EXECUTION: Quellsystem <Name des Quellsystems> existiert
nicht (RSAR203). Nach kurzer Suche sind wir auf Hinweis 1564964 gestoen: Den Funktionsbaustein
RSAR_LOGICAL_SYSTEM_DELETE in der SE37 mit I_LOGSYS = <zu lschendes Quellsystem> und alle
anderen Parameter = X ausfhren. (Vorher beachten, ob der dort erwhnte Hinweis eingespielt
worden ist)
Das Problem dabei war: Wir mussten den Import in der SAINT immer wieder starten und jedes mal
wurde nur genau ein Quellsystem als verwaist gemeldet. Es stellte sich aber hinterher heraus, dass
verwaiste Eintrge von fast einem Duzend Quellsystemen im System vorhanden waren. Die Laufzeit
des Upgrades steigerte sich damit um zwei Tage, da er immer wieder nach der Bereinigung eines
Systems neu gestartet werden musste.
Ich habe leider keinen offiziellen Weg gefunden, um im Vorfeld verwaiste Quellsysteme zu finden.
Daher habe ich versucht, der Datenbank etwas Brauchbares zu entlocken. Die Tabelle RSBASIDOC
enthlt die Quellsysteme, so wie man sie auch in der RSA13 sehen kann. Da in den Hinweisen die
Tabelle RSOLTPSOURCE fr BW 3.x als Workaround genannte wird, habe ich schlielich folgendes
SQL-Statement entwickelt:
select distinct logsys from
BASIDOC)

RSOLTPSOURCE where logsys not in (select slogsys from RS

Dieses Statement kann man z.B. auch ber das DBACOCKPIT absetzen. Die Ergebnisliste wurde dann
vom Anwendungssupport geprft. Tatschlich waren alle Treffer Quellsysteme, die schon vor einiger
Zeit aus der RSA13 entfernt worden sind. Mit der Liste und dem Vorgehen aus Hinweis 1564964
konnten wir die verwaisten Quellsysteme im Vorfeld lschen und die Upgradezeit in den
Folgesystemen von drei Tagen auf wenige Stunden verkleinern.

Verwandte Beitrge
SAP Systemkopie mit ChaRM und Urgent Corrections im Einsatz
Wartungszertifikate automatisch ber den SAP Solution Manager beziehen
Kontrolleurzuordnung kann nicht gelscht werden

81 / 279

rz10.de - die SAP Basis und Security Experten

82 / 279

rz10.de - die SAP Basis und Security Experten

Fehler beim Registrieren des saprouter Dienstes


von Timm Funke - Beitrag vom 21. Juni 2012

Beim Installieren des saprouter Services unter Windows 2008 habe ich eine Fehlermeldung
bekommen:

C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p service -r -Y 0 -C


1000 -D -G c:usrsapsaproutersaprouter.log -J 50000000
failure: OpenSCManager, NT ErrorMessage: Access is denied.
Die Lsung besteht darin, die Eigenschaften der Datei ntscmgr.exe anzupassen:

Anschlieend lsst sich der Dienst ohne Probleme installieren.

83 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
Saprouter als Service mit SNC

84 / 279

rz10.de - die SAP Basis und Security Experten

Fehler im Upgrade auf EHP1


von Timm Funke - Beitrag vom 10. Februar 2011

sapevent bekommt keine Verbindung zum SAP System


Der Upgrade eines BW 70 auf EHP1 ist in den Phasen TABIM_UPG und XPRAS_UPG stehen geblieben.
Leider wurde im Installationstool (hier EHPI) kein Fehler angezeigt, aber die entsprechenden Phasen
sind nicht zum Ende gekommen.
Das Programm sapevent versucht ber RFC einen Batchjob im SAP(Schatteninstanz) zu starten, dies
bricht jedoch mit der Fehlermeldung ab:
received 4 bytes from MSG_SERVER Received opcode MS_DUMP_INFO from msg_server, reply
MSOP_ACCESS_DENIED
MsOpReceiveReceived opcode MS_DUMP_INFO failed, reason MSOP_ACCESS_DENIED
MsDump : failed MSOP_ACCESS_DENIED (5)
*** ERROR ***: Get message server parameters, rc = 5
Dann warte der Upgrade Prozess einige Zeit und versucht es erneut und so weiter und so weiter
Die Fehlermeldung findet man in der Datei dev_evt im tmp Verzeichnis der Installation, bzw. man
kann das sapevent Tool auch manuell mit der Option -t starten, dann wird die Trace Datei im
aktuellen Verzeichnis erstellt.
Zu dem Fehler kommt es, weil der sapevent die Profildatei DEFAULT.PFL zur Ermittlung des Ports fr
den Message Server liest.
In meinem aktuellen Fall wird dieser Port aber durch einen Eintrag im Instanzen Profil berschrieben
(rdisp/msserv_internal).
Das heit, das SAP System laust auf rdisp/msserv_internal und sapevent spricht den Message
Server Port aus dem Default Profil an und kann so keinen Connect zu dem SAP System bekommen.
Zur Lsung habe ich den Parameter im DEFAULT Profil korrigiert.

Verwandte Beitrge
Verhalten von Berechtigungen nach SAP Upgrades

85 / 279

rz10.de - die SAP Basis und Security Experten

86 / 279

rz10.de - die SAP Basis und Security Experten

Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon


not possible
von Dominik Busse - Beitrag vom 23. Januar 2014

Nach der Trennung eines SAP Dual-Stack-Systems auf ein separates Java- und ABAP-System kann
das SAP NetWeaver Portal Java keine ABAP-Inhalte mehr anzeigen und Single-Sign-On (SSO)
funktioniert nicht mehr. Beim Anmelden erscheinen die Fehlermeldungen Issuer of SSO ticket is not
authorized bzw. SSO logon not possible.

Die SSO-Fehlermeldung:

Beim Anmelden via System Administration erscheint der Hinweis SSO logon not possible; browser
logon ticket cannot be accepted.

87 / 279

rz10.de - die SAP Basis und Security Experten

Beim Anmelden ber die SAP Gui erscheint der Hinweis Issuer of SSO ticket is not authorized.

Dem SSO-Fehler auf der Spur:


Um auf die Ursache solcher Fehler zu stoen, bietet sich ein Security Trace mit der SM50 an. Hierfr
kann der Trace Level zunchst wie folgt auf Level 2 erhht werden:

88 / 279

rz10.de - die SAP Basis und Security Experten

Ein erneutes Nachstellen des Fehlerfalls fhrte zu folgendem Log:

89 / 279

rz10.de - die SAP Basis und Security Experten

Im Log heit es: ERROR => System ID and client from ticket are not the same than mine [],
sodass der Fehler in diesem Fall auf die nicht bereinstimmenden Clients zurckzufhren war.

Die Lsung des SSO-Fehlers:


Um das Problem zu lsen gilt es den entsprechenden Parameter login.ticket_client ber die UMEKonfiguration des SAP NetWeaver Portals vorzunehmen. Je nach Version des Portal ndern Sie diesen
Parameter entweder ber SAP NetWeaver Administrator (Portal > 7.2) oder ber Visual Admin (Portal
7.0). Den Parameter login.ticket_client finden Sie via Systemadminitration -> UME-Konfiguration ->
Expertenmodus ffnen.

90 / 279

rz10.de - die SAP Basis und Security Experten

Im oben aufgefhrten Fehlerfall hatte der Parameter login.ticket_client den Wert 777. Korrekterweise
mssen Sie hier den Client des Logon-Tickets (client 000) eintragen.
Sobald Sie den entsprechenden Wert fr login.ticket_client eingetragen haben, sollte die Anmeldung
wieder funktionieren.
Ich freue mich auf Ihre Kommentare und Ihr Feedback und hoffe, dass ich Ihnen bei der Lsung des
Problems behilflich sein konnte.

Verwandte Beitrge
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO
SSO Troubleshooting Checklist
Single Sign On mit KeePass
Single-Sign-On: Trust-Verbindung einrichten mit dem SSO2-Wizard
Single Sign On fr SAP GUI

91 / 279

rz10.de - die SAP Basis und Security Experten

Fehleranalyse bei Startproblemen der J2EE


von Timm Funke - Beitrag vom 4. Februar 2011

Ab und zu kommt es ja doch einmal vor, dass unsere geliebte J2EE Engine nicht mehr starten
Und gerade habe ich im Internet einen zwar nicht mehr
ganz neuen, aber irgendwie immer noch aktuellen Guide zum Vorgehen zur Analyse von eben diesen
Problemen gefunden. Lege ich mal hier ab.

Verwandte Beitrge
JSPM Start: Error while detecting start profile
mchte. Habe ich zumindest mal gehrt

92 / 279

rz10.de - die SAP Basis und Security Experten

Gefhrlicher Profilparameter auth/object_disabling_active


von Tobias Harmes - Beitrag vom 9. September 2014

Nach einer SAP Installation stellt sich oft die Frage welche Profilparameter angepasst werden sollen.
Hierzu gehren in der Regel die Profilparameter zur Kennwortsteuerung, aber auch viele andere. Die
meisten Profilparameter bleiben allerdings unberhrt, da der Defaultwert oftmals ausreichend ist.
Im folgenden Beispiel ist der Defaultwert jedoch uerst sicherheitskritisch zu betrachten. Der
Profilparameter auth/object_disabling_active besitzt standardmig den Wert Y und ermglicht
dadurch ber die Transaktionen SU25 bzw. AUTH_SWITCH_OBJECTS ein globales Deaktivieren von
Berechtigungsobjekten. So knnte beispielsweise die Prfung auf das Berechtigungsobjekt S_TCODE
systemweit ausgeschaltet werden.

Aus diesem Grund sollte nicht nur darauf geachtet werden, dass die Anwender keinen Zugriff auf die
oben genannten Transaktionen haben, sondern auch, dass der Profilparameter ber die Transaktion
RZ10 auf den Wert N gesetzt wird. Dadurch wird die globale Deaktivierung von
Berechtigungsobjekten unterbunden.
Welche Profilparameter erachten Sie fr besonders sicherheitskritisch? Ich freue mich auf Ihre
Kommentare.

Verwandte Beitrge
berprfung der SAP Standardbenutzer auf Initialkennwort
Aktivierung und Konfiguration des SAP Security Audit Log
Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

93 / 279

rz10.de - die SAP Basis und Security Experten

Google Chrome Extension - SAP Any Search


von Tobias Harmes - Beitrag vom 9. Mai 2014

Finden Sie es auch umstndlich das Netz nach SAP Themen und Hinweisen zu durchsuchen? Dann
genieen Sie jetzt den Vorteil der, von rz10.de bereitgestellten, Google Chrome Extension SAP Any
Search.

Mit SAP Any Search haben Sie die Mglichkeit im Netz nach SAP Inhalten zu suchen, ohne
umstndliche Umwege ber die von SAP bereitgestellten Portale.

Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Markieren Sie einfach den gewnschten Begriff/die SAP Hinweisnummer in dem Artikel, den Sie
gerade lesen, ffnen Sie mit einem Rechtsklick das Kontextmen und whlen Sie eine der
verschiedenen Suchoptionen. Die Suchergebnisse werden Ihnen anschlieend in einem neuen
Browser Tab prsentiert.

94 / 279

rz10.de - die SAP Basis und Security Experten

Alternativ knnen Sie auch einfach die sogenannte Omnibox Funktion von SAP Any Search
verwenden. Tippen Sie hierfr einfach das Keyword search in die Browserleiste ein, um die Suche
ber SAP Any Search zu aktivieren oder stellen Sie die SAP Any Search Omnibox als
Standardsuchmaschine fr Ihren Google Chrome Browser ein.

Verwenden Sie dann einfach einen der folgenden Suchparameter.


n [SAP Hinweisnummer]: ffnet den gesuchten SAP Hinweis
p [SAP Hinweisnummer]: Download des SAP Hinweises als PDF
s [Suchbegriff]: Durchsuchen des SCN
x [Suchbegriff]: Verwenden der SAP xSearch
r [Suchbegriff]: Durchsuchen von rz10.de
In dem nachfolgenden Beispiel wird die SAP xSearch fr die Suche nach dem Begriff Solution
Manager verwendet.

95 / 279

rz10.de - die SAP Basis und Security Experten

Profitieren Sie von der einfachen, bequemen, sowie schnellen Suche und installieren Sie sich die
Google Chrome Extension SAP Any Search.
Wie gefllt Ihnen die Extension? Welche Funktionen wrden Sie sich noch wnschen, damit Sie
optimal untersttzt werden? Ich freue mich auf Ihre Kommentare.

Verwandte Beitrge
Lsung SAP Solution Manager installieren
Lsung SAP GRC 10 Access Control
Lsung Neues SAP Berechtigungskonzept
Automatische Prfung fr SAP Sicherheitshinweise
Lsung Behebung von Revisionsfeststellungen im SAP
SAP Basis und SAP Security Berater von RZ10 buchen

96 / 279

rz10.de - die SAP Basis und Security Experten

Grafische
Visualisierung
Tabellenbeziehungen

von

SAP

Tabellen

und

von Tobias Harmes - Beitrag vom 13. April 2012

Es kommt gelegentlich vor, dass man sich durch mehrere SAP Tabellen kmpfen muss, damit man
die Daten bekommt, die man sucht. Ich mache mir dann immer gerne ein Bild von der Tabelle und
mchte wissen: mit welchen Tabellen hngt diese Tabelle zusammen?
Die SAP bietet in der SE11 (Data Dictionary) ein mchtiges, aber leicht zu bersehendes Werkzeug
an: Die Anzeige eines Netzplans fr die Fremdschlsselbeziehungen der aktuell ausgewhlten
Tabelle. Dafr whlt man in der SE11 die Option Grafik an oder nutzt die Tastenkombination
Strg+Shift+F11:

Daraufhin ffnet sich eine Netzplangrafik (SAP Network Graphics). Diesen kann man nun fr
selektierte Tabellen um Fremdschlssel-Tabellen ergnzen.

97 / 279

rz10.de - die SAP Basis und Security Experten

Dadurch kann man aus den verknpften Tabellen auswhlen und mit in den Netzplan einfgen.

Das Ergebnis ist eine bersicht ber die Beziehungen der Tabellen.

98 / 279

rz10.de - die SAP Basis und Security Experten

Fr eine schnelle bersicht ber die Felder von Tabellen lohnt sich brigens auch ein Blick in den SAP
QuickViewer (Transaktion SQVI). Hier ein Beispiel fr die Ansicht einer Join-Abfrage.

Verwandte Beitrge
Abfrage von mehreren SAP Tabellen ber den Quickviewer
Risiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAP
minimieren
SAP Basis und SAP Security Berater von RZ10 buchen

99 / 279

rz10.de - die SAP Basis und Security Experten

100 / 279

rz10.de - die SAP Basis und Security Experten

HowTo Konfiguration von Adobe Document Services (ADS SAP)


von Timm Funke - Beitrag vom 26. April 2011

Der Adobe Document Service wird im Normalfall mit dem Java WAS mitinstalliert. Fr die
Konfiguration sind noch einige Schritte zu beachten, diese habe ich in einem HowTo
zusammengetragen.
Wir bernehmen Betriebsaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Dieses findet man hier:


How-to SAP ADS(PDF)
Dabei handelt es sich um folgende Systemumgebung:
Adobe Document Services (ADS) ist auf einem JAVA WAS installiert.
Angeschlossen wird der Service an ein SAP ERP System und zwar ohne Verschlsselung (SSL).

Verwandte Beitrge
SSL Webservices im SAP nutzen
SAP RFC ADS Verbindung funktioniert nicht - Fehler Target service not allowed
IDoc Status manuell ndern
SAP Kernel Update durchfhren

101 / 279

rz10.de - die SAP Basis und Security Experten

102 / 279

rz10.de - die SAP Basis und Security Experten

IDoc Status manuell ndern


von Dominik Busse - Beitrag vom 5. Mai 2014

Der IDoc Status eines bestimmten IDocs soll manuell verndert werden. Dieses Ziel kann mithilfe
eines Standard SAP-Reports erreicht werden.

Ausgangssituation:
Immer wieder gibt es Situationen, in denen ein IDoc Status manuell verndert werden soll. Ich erlebe
es zum Beispiel hufig, dass ein IDoc zum Lschen markiert wurde (Status 68 bzw. Status 31), aber
zu einem spteren Zeitpunkt die erneute Verarbeitung notwendig wird. In diesem Tutorial soll dieses
Beispiel dargestellt werden.
Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

bersicht ber IDoc Status


Zunchst mchte ich Ihnen einen kurzen berblick ber die gngigen IDoc Status geben. Hierbei gilt
zu beachten, dass die IDoc Status fr ausgehende IDocs zwischen 01 und 49 liegen, whrend die
Status fr eingehende IDocs bei 50 beginnen:
Ausgehende IDocs:
Status
Status
Status
Status
Status

02
03
30
31
33

Fehler bei der Datenbergabe


Datenbergabe an Port OK
IDoc ist versandfertig
Keine weitere Verarbeitung
IDoc editiert

103 / 279

rz10.de - die SAP Basis und Security Experten


Eingehende IDocs:
Status
Status
Status
Status
Status
Status

51
52
53
64
68
70

Anwendungsbeleg nicht gebucht


Anwendungsbeleg unvollstndig gebucht
Anwendungsbeleg gebucht
Idoc ist bergabebereit
Keine weitere Verarbeitung
IDoc editiert

Welchen IDoc Status sollte ich whlen?


Da das Ziel des nderns des IDoc Status hufig die erneute Verarbeitung ist, bietet es sich
an, das IDoc in den Status zu versetzen, in welchem es auf die Verarbeitung wartet. Bei
ausgehenden IDocs whlen Sie den Status 30, whrend Sie fr eingehende IDocs den Status
64 auswhlen.

IDoc Status mit Report verndern


Zum ndern des IDoc Status wird der Report RC1_IDOC_SET_STATUS verwendet. Dieser wird wie
folgt bedient:
1. Transaktion SE38 aufrufen und Status ausfhren:

2.
Im Mglichkeit,
Report
selbst,
mssen
Sie
dieneuen
IDoc-Nummer(n),
den
Nachrichtentyp
des
IDocs,
den
aktuellen
IDoc
Status und
Status nur
des zu
IDocs
angeben.
Weiterhin gibt
es die
die
Umsetzung
desden
Status
zunchst
Testen:

104 / 279

rz10.de - die SAP Basis und Security Experten

3. Das Ergebnis des Reports stellt sich wie folgt dar:

Wenn die Anzahl der umgesetzten IDocs nicht der Anzahl der umzusetzenden IDocs entspricht, kann
der IDoc Status des IDocs nicht verndert werden (bspw. weil dieses gerade von einem anderen
Benutzer gesperrt ist). In diesem Fall probieren Sie es zu einem spteren Zeitpunkt erneut.
Was sind Ihre Erfahrungen mit dem ndern des IDoc Status? Gab es bereits Situationen, in denen Sie
den Status manuell ndern mussten?
Ich freue mich auf Ihr Feedback und Ihre Kommentare gleich unterhalb dieses Beitrags!

Verwandte Beitrge
HowTo Konfiguration von Adobe Document Services (ADS - SAP)
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI
SAP Basis und SAP Security Berater von RZ10 buchen
SAP Heartbleed: Kein OpenSSL - kein Problem?

105 / 279

rz10.de - die SAP Basis und Security Experten

106 / 279

rz10.de - die SAP Basis und Security Experten

Importeinplanung von Transportauftrgen via STMS


von Dominik Busse - Beitrag vom 28. Februar 2014

Ein Transportauftrag soll nicht unmittelbar importiert werden, sondern zu einem bestimmten Termin.
Die STMS bietet die Mglichkeit der Importeinplanung, sodass ein Import zu einem festgelegten
Zeitpunkt durchgefhrt werden kann.

Importeinplanung von Transportauftrgen in der Importqueue der STMS


Zu Beginn dieses Tutorials befinden Sie sich wie gewohnt innerhalb der STMS in der jeweiligen
Importqueue des Systems, in welches importiert werden soll. Markieren Sie den zu importierenden
Transportauftrag mit F9 und whlen Sie das LKW-Icon

Es ffnet sich der Dialog zum Import des Transportauftrages. ber diesen Dialog knnen Sie nicht
nur sofort importieren, sondern auch eine Importeinplanung durchfhren. Auf dem
Reiter Termin markieren Sie Mit Startzeit und geben den gewnschten Starttermin ein:

Obwohl es keinen Einfluss auf die Importeinplanung hat, empfiehlt es sich generell fr den Import
von Transporten auf dem Reiter Optionen den Haken bei Transportauftrag fr weiteren Import in

107 / 279

rz10.de - die SAP Basis und Security Experten


Queue stehen lassen zu entfernen. Anschlieend besttigen Sie den Dialog durch einen Klick auf den
grnen Haken:

Im daraufhin angezeigten Dialog fragt das System explizit, ob der Import fr den gewnschten
Transportauftrag eingeplant werden soll. Besttigen Sie mit Ja:

Der Transportauftrag erscheint nun mit einem kleinen Uhren-Icon in der Importqueue:

108 / 279

rz10.de - die SAP Basis und Security Experten

Die Importeinplanung hat funktioniert.


Ich hoffe, dass ich Ihnen mit meinem Tutorial fr zuknftige Anforderungen termingesteuerter
Importauftrge helfen konnte. Bei Fragen stehe ich Ihnen gerne zur Verfgung und freue mich auf
Ihre Kommentare oder Beitrge.

Verwandte Beitrge
TP Befehle zur Transportsteuerung
Transportauftrag aus Importqueue lschen
Ausplanen eines eingeplanten Importauftrags
SAP Transport Status zurcknehmen
Transporteur zu SAP Transport ermitteln
SYNCMARK blockiert Importqueue: wrong syntax in tp call

109 / 279

rz10.de - die SAP Basis und Security Experten

Internet Explorer Client Certificate Popup unterbinden bei SSO


Szenario
von Tobias Harmes - Beitrag vom 25. Mai 2012

Bei der Konfiguration einer SAP Single-Sign-On Portal Lsung ist diese Woche die Frage
aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client
Zertifikat unterdrcken?
Szenario: Der Benutzer mchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat.
Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup besttigen.

Der Grund dafr ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schn
beschrieben:
http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx
In Krze: bswillige Seitenbetreiber knnten bei der automatischen bermittlung von
Clientzertifikaten Informationen ber den Client aussphen. Darum fordert der IE immer eine
Besttigung vor dem Senden an.

Glcklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphre
trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP
Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten.
Die Anwahl von https://service.sap.com/XSEARCH fhrt zu einem Popup, da ich mich beim SAP
Support mit meinem Client Zertifikat anmelde.

Die Lsung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu
setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.
Schritt 1: Seite zu den Trusted sites hinzufgen

110 / 279

rz10.de - die SAP Basis und Security Experten

Schritt 2: Zoneneinstellung fr Trusted sites verndern


Do not prompt for client certificate selection when no certificates or only one certificate exists. auf
Enable stellen
Zoneneinstellung Englisch

Zoneneinstellung Deutsch

111 / 279

rz10.de - die SAP Basis und Security Experten

Ergebnis:
Zugriff ist ohne Zertifikatsabfrage mglich. Eine Verletzung der Privatsphre riskiert man nun
hchstens bei Webseiten denen man ohnehin vertraut.
https://service.sap.com/XSEARCH

Quellen:
http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

Verwandte Beitrge
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO
SSO Troubleshooting Checklist

112 / 279

rz10.de - die SAP Basis und Security Experten

113 / 279

rz10.de - die SAP Basis und Security Experten

J-Co Destination kann nicht gestartet werden


von Timo Eckhardt - Beitrag vom 16. April 2014

Im Netweaver Administrator unter dem Punkt Infrastruktur und J-Co Destination gibt es die Mglichkeit
Verbindungen zu Satelitensystemen herzustellen.Hierfr mssen zwei Destinationen angelegt werden.
Zum Einen LCRSARFC<SID> und zum Anderen SAPSLDAPI<SID>. Nach dem Anlegen der J-CO
Destination zum Satelitensystem erscheint der Fehler die J-CO Destination kann nicht gestartet werden.
Somit kann keine Verbindung zwischen XI/PI/PO und dem Satelitensystem hergestellt werden. Auch das
manuelle Starten hat keinen Erfolg. Die J-CO Destination wird sofort wieder gestoppt. J-CO Destination
kann nicht gestartet werden.
Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Die Ursache des Problems liegt darin, dass aus Sicherheitsgrnden eine automatische Registrierung von
fremden Systemen nicht standardmig akzeptiert wird. Dies muss manuell aktiviert werden. Zur
genaueren Analyse des Fehlers kann man auf dem Satelitensystem im Gatemonitor (Transaktion SMGW)
die Tracedateien anschauen sowie auf dem XI/PI/PO default Trace anschauen.

114 / 279

rz10.de - die SAP Basis und Security Experten

J-Co Destination lsst sich nicht Starten


Gateway Analyse (SMGW) im Satelitensystem

Tracefile in der Transaktion SMGW anzeigen lassen

*** ERROR => HOST=TP=*; invalid argument in line 1


reg_info file not found
Logfile Analyse auf dem XI / PI / PO System
auf Betriebssystemebene des PI Systems
/usr/sap/<SID_des_XI_System>/DV******/j2ee/cluster/server0/log/defaultTrace_00.trc

115 / 279

rz10.de - die SAP Basis und Security Experten

Externen Zugriff ber reginfo und secinfo erlauben


Nachdem man den Fehler lokalisieren konnte, kommen wir nun zur Lsung des Problems.
im Satelitensystem die Transaktion: SMGW Gateway Monitor
die secinfo prfen
-> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (secinfo)
und auch die reginfo prfen
-> Springen -> Expertenfunktionen -> Externe Sicherheit -> Anzeigen (reginfo)

116 / 279

rz10.de - die SAP Basis und Security Experten

Es mssen in folgendem Verzeichnis


werden: /usr/sap/<SID>/DV*****/data

auf

Betriebsystemebene

zwei

Dateien

angelegt

Alternativ kann man auch in der SMGW (siehe Screenshot) sowohl die secinfo als auch die reginfo
erzeugen lassen. Dabei mssen die Programme fr die der Zugriff erlaubt werden soll, manuell
angegeben werden.
secinfo
#VERSION=2
P USER=* HOST=* TP=SAPSLDAPI_<SID>
P USER=* HOST=* TP=LCRSAPRFC_<SID>
P USER=* HOST=local TP=*
reginfo
#VERSION=2

117 / 279

rz10.de - die SAP Basis und Security Experten

P TP=SAPSLDAPI_<SID>
P TP=LCRSAPRFC_ <SID>
Anschlieend kann in der Transaktion SMGW -> Springen -> Expertenfunktionen -> Externe Sicherheit
-> Neu lesen die aktuelle Konfiguration eingelesen werden.
Syntax Eluterung:
Hierbei hat der Zeilenanfang P oder D, gefolgt von einem Leerzeichen oder einem TAB, folgende
Bedeutung:
P

bedeutet, dass das Programm gestartet werden darf (analog zu einer Zeile der alten Notation)

verhindert, dass dieses Programm angestartet wird.

USER=<user>, [PWD=<pwd>,] [USER-HOST=<user_host>,] HOST=<host>,TP=<tp>


Als Trennzeichen knnen Sie Kommas oder Leerzeichen verwenden. Falls TP-Name selbst Leerzeichen
enthlt, mssen Sie Kommas verwenden.
Durch eine entsprechende Zeile wird dem Benutzer <user> erlaubt, auf dem Rechner <host> das
Programm <tp> zu starten.
Durch Angabe der optionalen
Berechtigungsprfung verschrfen.

Parameter

PWD

und/oder

USER-HOST

knnen

Sie

diese

Der Wert internal bei den Host-Optionen (HOST und USER-HOST) steht fr alle Hosts des SAP-Systems.
Das Gateway ersetzt dies intern mit der Liste aller Applikationsserver des SAP-Systems.
Bei allen Parametern kann * als generische Angabe (Wildcard) benutzt werden.

Startberechtigungen fr externe Programme erteilen auf help.sap.com


Mit diesen Eintragungen wird den entsprechenden TP / Programmen / Hosts / User erlaubt sich am
System zu registrieren, sodass sich anschlieend im XI / PI / PO System die J-Co Destination erfolgreich
starten lassen.

118 / 279

rz10.de - die SAP Basis und Security Experten

Sie bentigen Untersttzung und haben Fragen zu diesem oder hnlichen Problemen? Kommentieren Sie
diesen Beitrag oder rufen Sie uns einfach an.

Verwandte Beitrge
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI
SAP Oracle Listener startet nicht
SAP Basis und SAP Security Berater von RZ10 buchen

119 / 279

rz10.de - die SAP Basis und Security Experten

JSPM Start: Error while detecting start profile


von Tobias Harmes - Beitrag vom 25. Juni 2013

Folgender Fehler ist nach der Aktualisierung unseres Testsystems aufgetreten: Error while detecting
start profile for instance with ID _b. Der JSPM lie sich nicht mehr starten. Dieser Beitrag beschreibt
die Fehlerbehebung.

Das Testsystem besteht aus einem Java sowie ABAP Application Server. Fr das Deployment konnten
wir den SDM nutzen. Die Anwendungen, beispielsweise das Portal, waren vorhanden und liefen.
Der erste Bezugspunkt fr die Fehleranalyse ist der Log des JSPM. Zu finden ist dieser unter
/usr/sap/<SID>/<central instance name>/j2ee/JSPM/log. Der Log war allerdings nicht sehr
aufschlussreich.
Nach einiger Recherche sind wir auf alte Profil-Dateien gestoen. Diese sind mit _old benannt.
Verschiebt man diese Dateien in einen Ordner auerhalb des Profil-Ordners (sapmnt/<SID>/profile)
lsst sich der JSPM starten. Das Problem ist damit behoben und der JSPM wieder funktionsfhig.
Dieses Problem wurde auch bereits von meinem Kollegen Timm Funke im SCN errtert und kann hier
nachgelesen werden.
Was haben Sie schon mal fr Effekte im Zusammenhang mit dem JSPM und Profil-Dateien erlebt? Ich
freue mich auf Ihr Feedback.

Verwandte Beitrge
Fehleranalyse bei Startproblemen der J2EE
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host
SUM - validation of deployment queue completed with error
SAP NetWeaver Identity Management (IDM) Fehlerbehandlung fr PowerShell Aufrufe

120 / 279

rz10.de - die SAP Basis und Security Experten

121 / 279

rz10.de - die SAP Basis und Security Experten

Kennworthistorie zurcksetzen
von Timm Funke - Beitrag vom 30. Januar 2011

Wer kennt das nicht, man braucht mal wieder in einem der vielen Systeme ein neues Kennwort und
alle Kennwrter, die man sich merken kann, sind noch gesperrt.
Mit einem kleinen ABAP kann man nun die Kennworthistorie lschen und sein gewohntes Kennwort

somit wieder benutzen


REPORT ZPWDDEL . ************************************************** *
* This program resets the users password * history, so the user can use the same * password again.
* **************************************************
TABLES: USR02.
PARAMETERS: USER LIKE USR02-BNAME.
SELECT * FROM USR02 WHERE BNAME = USER. ENDSELECT.
IF SY-SUBRC = 0.
USR02-OCOD1 =
USR02-BCODE.

USR02-OCOD2

USR02-OCOD3

USR02-OCOD4

USR02-OCOD5

MODIFY USR02.
ELSE.
WRITE: / User does not exist.
ENDIF.

Verwandte Beitrge
berprfung der SAP Standardbenutzer auf Initialkennwort
Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen

122 / 279

rz10.de - die SAP Basis und Security Experten

123 / 279

rz10.de - die SAP Basis und Security Experten

Laufzeitfehler DDIC_TYPELENG_INCONSISTENT
von Timm Funke - Beitrag vom 29. Juli 2012

Nach einem Kerneltausch auf die Version 7.20 hat mich unser XI System heute mit etlichen Dumps
mit dem Laufzeitfehler DDIC_TYPELENG_INCONSISTENT begrt:

Ein Blick in die Details zeigt:

In aktuellen Releases kann man ber die se38 den Report RSDDCHECK zur Hilfe nehmen, um das
Objekt zu analysieren:

Die Lsung an dieser Stelle ist recht simpel, in der se11 den Datentyp SWNCGLAGGTASKTYPE
aktivieren und schon sieht der erneute Start des Reports so aus:

124 / 279

rz10.de - die SAP Basis und Security Experten

Sollten weitere Fehler dieser Art auftreten, ist der SAP Hinweis 1610716 zu beachten!
Und der Sonntag kann beginnen J

Verwandte Beitrge
Dumps nach Abbruch der SPAM

125 / 279

rz10.de - die SAP Basis und Security Experten

Mandantenkopie
von Silvia Scholer - Beitrag vom 20. November 2014

Eine fr sich handelsrechtlich, organisatorisch und datentechnisch abgeschlossene Einheit innerhalb


eines SAP-Systems mit getrennten Stammstzen und einem eigenstndigen Satz von Tabellen wird
als Mandant bezeichnet. Im Zuge der Entwicklung und des Testens ist es oftmals notwendig, dass
beispielsweise eine Mandantenkopie von einem Produktivsystem zu einem Testsystem durchgefhrt
wird. Wie eine Mandantenkopie auszufhren ist und was zu beachten ist, werde ich im
Nachfolgenden aufzeigen.

Mandanten knnen innerhalb desselben Systems kopiert werden oder auch zwischen verschiedenen
Systemlinien. Um Mandanten innerhalb derselben Systemlinie zu kopieren, gehen Sie wie folgt vor:
Zunchst wird im Quellsystem in der Transaktion SCC4 ein neuer Zielmandant definiert. Hierzu
whlen Sie im nderungsmodus Neue Eintrge.

Abbildung 1: Transaktion SCC4

Anschlieend werden die Metadaten (sprich Mandantennummer, Ort, logisches System etc.) fr den
neuen Mandanten eingegeben und gesichert.

126 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Metadaten des Mandaten

In der in Abbildung 1 gezeigten Tabelle wird der neue Mandant angezeigt.


Anmerkung: Der Mandant wurde jetzt noch nicht kopiert. Die tatschliche Mandantenkopie kommt
als nchstes. Vorher sollten Sie zur Sicherheit die Datenbank sichern.
Melden Sie sich im Zielmandanten mit dem Benutzer SAP* und dem Passwort PASS an. ber die
Transaktion SCCL whlen Sie ber das Profil aus, welche Daten kopiert werden sollen sowie den
Zielmandanten.

Abbildung 3: Kopierprofile

Anschlieend kann die Mandantenkopie im Hintergrund gestartet werden. Bedenken Sie, dass dieser
Vorgang mehrere Stunden dauern kann und durch Arbeiten im Quellsystem verzgert werden kann.
ber die Transaktion SCC3 kann dieser Vorgang berwacht werden.
Welche Erfahrungen haben Sie mit Mandantenkopien gemacht? Ich freue mich auf Ihr Feedback.

127 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
SAP Basis und SAP Security Berater von RZ10 buchen
Benutzerstammstze exportieren und importieren
SAP Standardrollen kopieren und generieren

128 / 279

rz10.de - die SAP Basis und Security Experten

Massensperren von Benutzern via SU10


von Tobias Harmes - Beitrag vom 20. Januar 2012

Fr Wartungsarbeiten wie zum Beispiel Upgrades oder das Einspielen von Support Packages kann es
sinnvoll sein, alle nicht bentigten Benutzer eines Systems zu sperren. Dies kann ber die SAP
Transaktion SU10 durchgefhrt werden.
Fr die Verwendung der SU10 hilft es, standardisierte Vorgehensweisen zur Festlegung der
Benutzer-Zuordnung und Gltigkeit zu haben.
Wir
erstellen
individuelle
SAP
Berechtigungskonzepte,
die
solche
Themen
bercksichtigen. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einfhrung
von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb
haben wir dafr auch ein passendes Angebot: SAP Berechtigungskonzepte entwickeln
Unsere Referenzen finden Sie hier.

129 / 279

rz10.de - die SAP Basis und Security Experten

MaxDB 7.8 Passwort-Reset


von Tobias Harmes - Beitrag vom 10. Juli 2012

Wer kennt das Problem nicht? Man arbeitet auf den unterschiedlichsten Systemen, hat unzhlige
Benutzer und dementsprechend mindestens so viele Passwrter, die man sich merken muss. Jetzt
gibt es natrlich ntzliche Tools, die einem an dieser Stelle das Leben erleichtern (dazu spter
mehr). Aber was, wenn man kein Tool im Einsatz und das Passwort vergessen hat? Oft kann man das
Passwort zurcksetzen lassen und erhlt dann eine E-Mail mit dem neuen Passwort.
Bei SAP, genauer gesagt bei der MaxDB, ist das aber etwas anders. Sollte man das, bei der
Installation des SAP-Systems, angelegte Masterpasswort vergessen haben oder sollte es aufgrund
anderer Umstnde ungltig sein, hat man keine Mglichkeit mehr auf die Datenbank zuzugreifen.
Dies ist vor allem dann erforderlich, wenn zum Beispiel die Datenbanklog vollgelaufen ist oder die
Datenbank einfach nicht ber den Service automatisch gestartet wurde.
Doch was ist die Konsequenz? Die Konsequenz ist ein nicht startendes SAP-System, das in einem
solchen Szenario noch einmal komplett neu aufgesetzt werden msste. Falls man einen
Wiederherstellungspunkt in Petto hat, dann herzlichen Glckwunsch, man verliert nur die Daten nach
diesem Zeitpunkt. Doch falls es kein Backup gibt, ist es aus und vorbei. Richtig?! Falsch!
Es gibt eine Methode das Passwort der MaxDB zurckzusetzen, die ich im Folgenden beschreiben
werde. Alles was man dazu braucht ist
der Hex Workshop Hex-Editor, den man unter
http://www.hexworkshop.com/ herunterladen kann.
1. Als erstes muss man mit dem Hex Editor die .upc Datei ffnen, in der die Benutzerprofile
binr gespeichert sind. Die Datei hat die Form DBNAME.upc. Wichtig ist, dass die Datei im
little Endian Modus (siehe Screenshot) bearbeitet wird.
2. Danach sucht man nach dem Benutzer Control und macht dort die Angaben, wie sie auf dem
Screenshot zu sehen sind. Die erste Werte werden zwischen 18 00 und der zweiten 18
gendert. Der zweite Eintrag beginnt hinter 43 52 59 50 54 04 18 und steht auf der rechten
Seite fr CRYPT.. . Durch die nderungen wird das Passwort fr den Benutzer Control auf
password gesetzt. Natrlich funktioniert dieses Vorgehen fr jeden Benutzer, der sich in der
.upc Datei befindet.
3. Server neu starten.
4. Falls nicht bereits vorhanden, muss man sich jetzt noch den MaxDB Database Manager
installieren und im Anschluss folgende Eingabe in der Konsole machen. Pfad zum MaxDB
Database Manager Ordner in dem die dbmcli.exe liegt. C:[]>dbmcli -d DBNAME -u
control,password user_put control password=password.
5. Nachdem die Eingabe besttigt wurde wechselt man in das SAP Verzeichnis, in dem die
aktuelle Version der dbmcli.exe liegt und macht dort die Angaben wie folgt; C:[]>dbmcli -d
DBNAME -u control,newpassword user_put control password=newpassword. Dadurch bleiben
die Daten konsistent.

130 / 279

rz10.de - die SAP Basis und Security Experten

Eingaben im Hex Editor

Zum Schluss muss man sich nur noch ber das Developer Studio mit dem genderten Benutzer und
dem neuen Passwort anmelden und hat wieder vollen Zugriff auf die Datenbank.
Wie eingangs schon erwhnt gibt es ntzliche Tools, um sich das Leben einfacher zu gestalten. Das
Tool meiner Wahl heit KeyPass und kann unter http://keepass.info/ heruntergeladen werden.
KeyPass ist eine Passwortdatenbank mit der alle Passwrter verwaltet werden knnen. Neben
unzhligen ntzlichen Features ist der groe Vorteil, dass man sich nur noch das Passwort fr den
Zugriff auf KeyPass merken muss und somit das Risiko Passwrter zu vergessen minimiert wird. Das
Passwort fr KeyPass sollte aber nicht vergessen werden, da dort ein Passwort-Reset bzw. -Recovery
nicht mehr mglich ist.

Verwandte Beitrge
SAP NW IdM 7.1 Hinzufgen eines JDBC-Treibers zum Dispatcher

131 / 279

rz10.de - die SAP Basis und Security Experten

132 / 279

rz10.de - die SAP Basis und Security Experten

Netzwerkverbindungen aus dem SAP testen


von Tobias Harmes - Beitrag vom 21. August 2011

In der Regel kommt der Betrieb der SAP Applikationsserver und der Netzwerk-/Firewall-Infrastruktur
nicht aus einer Hand. Das kann die Ursachenanalyse fr ein Problem erschweren. Gut wenn man als
SAP Basis Mitarbeiter ein paar Werkzeuge kennt, um Applikationsprobleme von gestrten oder
abgeschotteten Netzwerkverbindungen abgrenzen zu knnen.

Telnet
Hinweis: Bei neueren Windows-Installationen muss man den Telnet-Client erst nachinstallieren. Unter
Linux/Unix ist es im Standardumfang enthalten.
Aufruf:
telnet hostname port
Beispiel:
telnet meinsaprouter.company.com 3299
Wird die Console schwarz und ein Cursor blinkt links oben dann ist die Verbindung erfolgreich
hergestellt worden. Die Verbindung beenden kann man mit CTRL++ und der Eingabe quit.
Blockiert eine Firewall die Verbindung, dann dauert es eine Weile bis schlielich ein Timeout
gemeldet wird.
Wird die Verbindung aufgebaut, aber gleich darauf getrennt, ist die Wahrscheinlichkeit hoch, dass es
ein saprouter/Dienst-Problem ist.

Niping
Mit niping kann man die Verbindung zu einem Dispatcher oder Gateway testen, inklusive der SAP
Router dazwischen. Dies ist ein deutlicher Vorteil gegenber den direkten Tools wie telnet und
netcat.
Tipp: ber den Report RSBDCOS0 kann man das Programm direkt auf dem Applikationsserver ohne
Betriebssystemzugriff laufen lassen.
Aufruf:
niping -c -H HOSTNAME oder SAPROUTERSTRING -S PORT

1. Beispiel:
[1]niping -c -H /H/meinsaprouter.company.com -S sapdp99
[1]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99

133 / 279

rz10.de - die SAP Basis und Security Experten

Sun Aug 21 18:22:07 2011


***LOG
Q0I=>
NiPConnect2:
meinsaprouter.company.com:3299:
WSAECONNREFUSED: Connection refused) [nixxi.cpp 3133]

connect

(10061:

*** ERROR => NiPConnect2: SiPeekPendConn failed for hdl 1/sock 268
(SI_ECONN_REFUSE/10061; I4; ST; meinsaprouter.company.com:3299) [nixxi.cpp 3133]
*** ERROR => NiTClientLoop: NiHandle (rc=-10) [nixxtst.cpp 2529]
2. Beispiel:
[2]niping -c -H /H/meinsaprouter.company.com -S sapdp99
[2]ReturnCode= 1-ng -c -H /H/meinsaprouter.company.com -S sapdp99

Sun Aug 21 18:25:01 2011


connect to server o.k.
*** ERROR => NiBufIProcMsg: hdl 1 received rc=-93 (NIEROUT_INTERN) from peer [nibuf.cpp 2115]
*** ERROR => NiTClientLoop: NiTReadLoop (rc=-93) [nixxtst.cpp 2529]

Bei dem ersten Beispiel war der SAP Router Dienst nicht gestartet, beim zweiten Beispiel war der
Zugriff erfolgreich. Die *** ERROR Nachrichten kann man vernachlssigen.

Netcat
Fr andere Netzwerkdienste (z.B. Test ob der Mailserver-Port offen ist) kann man neben telnet auch
netcat sehr gut einsetzen. Allerdings ist das Programm nur in der Unix/Linux-Welt im
Standardumfang verfgbar.
Aufruf:
netcat -w5 -z -v HOSTNAME PORT
-w 5 sekunden warten
-z port scanning only
-v verbose
Beispiel:
[6]netcat -w5 -z -v mail.company.com 25 2>/tmp/test_mailtest.txt
[7]cat /tmp/test_mailtest.txt
mail.company.com [10.0.0.1] 25 (smtp) open
Durch die Parameter im Beispiel luft netcat nicht-interaktiv und ist damit auch wieder fr den SAP

134 / 279

rz10.de - die SAP Basis und Security Experten


Report RSBDCOS0 geeignet.

Verwandte Beitrge
SAP Emailversand einrichten und testen
Saprouter als Service mit SNC
Betriebssystembefehle via Transaktion ausfhren

135 / 279

rz10.de - die SAP Basis und Security Experten

OK Codes fr SAP
von Timm Funke - Beitrag vom 30. Januar 2011

Im Transaktionsfeld eines SAP Systems lassen sich nicht nur die Transaktionen aufrufen. Im
Folgenden stelle ich zusammen, welche sogenannte OK-Codes noch mglich sind:

OK-Code
/o

/oTransaktion
/nTransaktion

/*Transaktion

/i

/iModus

/nend

/nex

.xyz

Beschreibung
bersicht der offenen Modi und die
Mglichkeit einen bestehenden zu
lschen oder einen neuen zu erzeugen.
ffnen eines neuen Modi mit der
Transaktion transaktion
Beenden der aktuellen Transaktion und
starten
der
neuen
Transaktion transaktion im aktuellen
Mode. Achtung, nicht gespeicherte Daten
gehen ohne Warnung verloren!
Beenden der aktuellen Transaktion und
starten
der
neuen
Transaktion transaktion im aktuellen
Mode. Der erste Bildschirm der neuen
Transaktion
wird
nicht
angezeigt
(wenn?).
XXX
Achtung,
nicht
gespeicherte
Daten
gehen
ohne
Warnung verloren!
Beendet den aktuellen Modus. Achtung,
nicht gespeicherte Daten gehen ohne
Warnung verloren!
Beendet den angegebenen Modus.
Achtung, nicht gespeicherte Daten
gehen ohne Warnung verloren!
Beendet die aktuelle Sitzung und
schliet alle offenen Modi. Es wird eine
Besttigung
verlangt,
in
den
verschiedenen
Modi
noch
nicht
gespeicherte Daten gehen ohne weitere
Warnung verloren.
Beendet die aktuelle Sitzung ohne
Nachfrage. Alle offenen Modi werden
ohne Nachfrage geschlossen, Daten
knnen verloren gehen.
Traversieren
der
Men-Shortcuts
(Hotkeys)

136 / 279

rz10.de - die SAP Basis und Security Experten


/h
/hs
/$SYNC

/$TAB

/$CUA

/$NAM

/$DYNP

/h
/bend

/p
/p/p+
/p++
%pc
%sc
%pri

Springen in den Debugger (Im R/2: h,


Hoppeln)
Springen
in
den
Debugger
(Systemfunktionen?)
Synchronisieren aller Puffer. Durch diese
Funktion kann die Performance erheblich
verringert werden!
Synchronisiere
den
Tabellen-Puffer.
Durch
diese
Funktion
kann
die
Performance negativ beeinflut werden.
Synchronisiere den CUA-Puffer. Durch
diese Funktion kann die Performance
negativ beeinflut werden.
Synchronisiere den NAMTAB-Puffer. Durch
diese Funktion kann die Performance
negativ beeinflut werden.
Synchronisiere den Dynpro-Puffer. Durch
diese Funktion kann die Performance
negativ beeinflut werden.
In den Debugger wechseln. XXX Welche
Berechtigungen sind hier erforderlich?
Batch-Input beenden, dabei knnen Sie
mit
Wiederaufnahme
in
die
Transaktion SM35 zurckspringen.
Auf die erste Seite einer Liste springen.
Eine Seite rckwrts blttern.
Zur nchsten Seite vorblttern.
Auf die letzte Seite springen.
Liste downloaden.
In der Liste suchen.
Angezeigte Liste drucken.

Verwandte Beitrge
SU24 Pflege fr eigene Transaktionen

137 / 279

rz10.de - die SAP Basis und Security Experten

138 / 279

rz10.de - die SAP Basis und Security Experten

ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account


von Timm Funke - Beitrag vom 29. Mrz 2011

Wenn man sich mit dem SYSTEM Account an eine Oracle DB anmeldet, bekommt man einen
ORA-28011. Die Anmeldung funktioniert dann zwar, aber oft wird diese Fehler Meldung von
Skripten nicht abgefangen, sondern diese brechen ab.
Zuerst schauen wir uns an, zu welchem Profil der Benutzer gehrt:
SQL> select username, profile from dba_users;
USERNAME PROFILE

SAPR3 SAPUPROF
SYS DEFAULT
DBSNMP DEFAULT
OUTLN DEFAULT
OPS$ORAF3D DEFAULT
OPS$F3DADM DEFAULT
DIP DEFAULT
SYSTEM DEFAULT
ORACLE_OCM DEFAULT
APPQOSSYS DEFAULT
10 rows selected.
SQL>
Nun schauen wir uns die Beschrnkungen fr alle User mit dem Profile DEFAULT an:
select LIMIT, RESOURCE_NAME from dba_profiles
where PROFILE = DEFAULT
and RESOURCE_NAME in
(PASSWORD_GRACE_TIME,PASSWORD_LIFE_TIME,
PASSWORD_REUSE_MAX,PASSWORD_REUSE_TIME);
LIMIT RESOURCE_NAME

139 / 279

rz10.de - die SAP Basis und Security Experten


-
180 PASSWORD_LIFE_TIME
UNLIMITED PASSWORD_REUSE_TIME
UNLIMITED PASSWORD_REUSE_MAX
UNLIMITED PASSWORD_GRACE_TIME
Und hier sehen wir auch schon das Problem, die Life_Time steht auf 180. Mit dem Kommando:
select ptime,sysdate, floor(sysdate- ptime) from sys.user$ where name= SYSTEM kann man
herausfinden, wann das Kennwort zum letzten Mal gendert worden ist.
Nun gibt es zwei Lsungsmglichkeiten, entweder verndert man die PASSWORD_LIFE_TIME:
alter profile default limit PASSWORD_LIFE_TIME unlimited;
oder man ndert im SQL mit password einfach das Kennwort des Benutzers.

Verwandte Beitrge
Oracle-/DB Administration und Performance Transaktionen
SAP Oracle Listener startet nicht

140 / 279

rz10.de - die SAP Basis und Security Experten

Oracle-/DB Administration und Performance Transaktionen


von Timm Funke - Beitrag vom 25. Februar 2011

Anbei eine bersicht ber die wichtigen Transaktionen fr den Betrieb einer Oracle Datenbank unter
SAP
Transaktion
DBACOCKPIT
DB01
DB02

DB03

DB12

DB13

DB14
DB16

DB17

DB20

DB21
DB24

DB26

DBCO

Name
Admin Cockpit

Beschreibung
Zentraler Einstieg in die Oracle
Administration (DB02, DB13)
Oracle Lock Monitor
Anzeige von Oracle Locks, auf
die gewartet werden muss
Database-Performance
bersicht ber Tablespace und
Tabellen / Indexe der Datenbank
mit Einstieg in Detailanalysen
Parameternderung
der Anzeige
der
Datenbank
Datenbankparameter inklusive
ihrer nderungshistorie
Sicherungsprotokolle
berblick ber die Historie der
Datenbank und der Redo-Log
Sicherungen
DBA Einplanungskalender
Kalender
um
Datenbankoperationen
einzuplanen, wie DB Checks
oder Aktualisierung der Oracle
Statistiken
Protokollanzeige DBA
Anzeige der Protokolle aller
Operationen der BR* Tools
Datenbankprfungen
Anzeige der Fehlermeldungen
und Warnungen des letzten DB
Checks
Datenbankprfbedingungen
Pflege
der
Datenbankprfbedingungen
beim Einsatz von DB-Checks
(BR*Tools)
Tabellenstatistik
berblick ber die Statistik
einer einzelnen Tabelle und
Neuanlegen, wenn ntig
Konfiguration
der Pflege
der
StatistikStatistikerstellung
Ausnahmetabelle DBSTATC
Protokolle administrativer DB Statusanzeige
(Ampelsystem)
Operationen
von
DB
Operationen
wie
Backups,
Checks
und
Statistiklufen
Datenbankparameter
Anzeige
und
Pflege
(eingeschrnkt)
der
Oracle
Parameter
(detaillierter
als
DB03)
Datenbankverbindungen
Pflege
von
Datenbankverbindungen,
die
vom System genutzt werden
knnen, z.B. bei DB26 (NICHT

141 / 279

rz10.de - die SAP Basis und Security Experten


Verbindung Workprozesse
Schattenprozesse!)
Datenbank-Performance-Monitor berblick
ber
Oracle
Performancekennzahlen,
Session Monitor, V$Tables, SGA
und PGA Monitor

ST04N

Es sind die alten Transaktionen angegeben, in neuen Releasen muss teilweise noch ein old
ergnzt werden, da der Aufruf sonst zum DBACOCKPIT fhrt (z.B. DB02OLD).

Verwandte Beitrge
ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account
SAP Oracle Listener startet nicht
Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS

142 / 279

rz10.de - die SAP Basis und Security Experten

Performance Analysen im BW ein erster Ansatz


von Timm Funke - Beitrag vom 29. Januar 2011

In diesem Beitrag geht es um die ersten Schritte zur Performance Analyse in einem BW System.
Vieles kann natrlich auch fr ERP Systeme betrachtet werden.
Performance Engpsse in einem SAP BW System liegen aus meiner technischen Sicht natrlich eher
Um das der Anwendungsbetreuung auch zu dokumentieren, knnen die folgenden
Schritte hilfreich sein.
Zuerst schauen wir in der st03n

in der Applikation

Hier sind folgende Aspekte zu beachten:


Proc. Time ist eine berechnete Zeit
RFC ist wichtig fr BEx Queries
Wenn Proc. Time = ein Vielfaches der CPU, dann deutet das auf einen CPU Engpass hin
Die mittlere Wartezeit sollte zwischen 1 und 10 % der durchschnittlichen Antwortzeit
betragen => sonst liegt ein allgemeines Performance Problem vor. Ausgelst eventuell durch
nicht gengend Workprozesse. Fr den Anwender bedeutet das lang laufende Transaktionen
Die mittlere DB Zeit sollte nicht mehr als 40 45 % der Antwortzeit betragen. Alles andere
knnte seine Ursache in DB Problemen (z.B. auch CPU Engpass auf dem DB Server) oder
Netzwerkproblemen (zwischen Appl. Und DB Server) haben
GUI Zeit sollte bei < 250 ms liegen => sonst NW Engpass oder Probleme auf dem
Prsentationsserver

143 / 279

rz10.de - die SAP Basis und Security Experten

In diesem Beispiel ist die Durchschnittliche Wartezeit kleiner als 50 ms, damit liegt kein
allgemeines HW Problem bezglich der Performance vor.

Tauchen in den Hitlisten (Ranking List) SAPMHTTP Aufrufe auf, so knnen das BW Queries
sein
Wenn man dann einen Doppelklick auf einen Eintrag macht, dann bekommt man die alle
Zeiten zu dem Workproze angezeigt:

144 / 279

rz10.de - die SAP Basis und Security Experten

^
Hier schaut man auch wieder auf die durchschnittliche Wait Time, ist diese zu hoch, stehen
nicht gengend Ressourcen zur Verfgung (CPU)

Diese bersicht knnte der erste Schritt sein, wenn Performance Engpsse in einem BW System
auftauchen.
Natrlich gibt es noch viele weitere Aspekte, z.B. Einstellungen auf dem DB Server, Performance
Aspekte innerhalb der DB etc.. Auf diese werde ich in weiteren Beitrgen eingehen.

Verwandte Beitrge
Wichtige Transaktionen fr Performance Untersuchungen
Performanceoptimierung der SAP BW Landschaft
SAP Speichermodell in Windows Umgebungen

145 / 279

rz10.de - die SAP Basis und Security Experten

146 / 279

rz10.de - die SAP Basis und Security Experten

PI-Komponenten fehlen im SLD


von Timo Eckhardt - Beitrag vom 21. Oktober 2014

Es kann vorkommen, dass einige der PI-Komponenten nicht mehr im PI registriert sind. Das kann zu
Fehlern in der Nachrichtenverarbeitung fhren oder verursachen, dass die Runtime Workbench nicht
korrekt funktioniert.

Kontrolliert werden kann die Konfiguration an folgender Position im System Landscape Directory
(SLD):
http:<Hostname>:<Port>/sld -> Technische Systeme -> Process Integration

147 / 279

rz10.de - die SAP Basis und Security Experten


Hier sollten mindestens folgende sechs Komponenten der PI vorhanden sein:
Domain, Integration Repository, Integration Directory, RWB (Runtime Workbench), Adapter Engine,
Integration Server
Sobald hier eine PI-Komponenten fehlt, kann es zu Problemen bei der Nachrichtenverarbeitung
kommen.
PI-Komponente lschen

Jede Komponente muss der zugehrigen Domne zugeordnet sein, der Name der Domne muss in
der Spalte Domne angezeigt werden.
Der Integration Server sowie die Domain sind elementare Komponenten, die nicht einfach gelscht
werden sollten. Diese registrieren sich nicht durch einen einfachen Restart neu. Daher lschen Sie
bitte nicht versehentlich den Integration Server. Fr Inkonsistenzen mit dem Integration Server
verweise ich auf einen Blogbeitrag, der sich damit auseinander setzen und in Krze erscheinen wird.
SLD-Registrierung von PI-Komponenten auslsen

Um die Registrierung einer PI-Komponente auszulsen, mssen Sie die zugehrige Anwendung neu
starten. Navigieren Sie im SAP NetWeaver Administrator zur Oberflche zum Starten/Anhalten:
http:<Hostname>:<Port> > SAP NetWeaver Administrator > Operation Management > Systems
> Start&Stop > Java EE Applications
An dieser Stelle whlen Sie die entsprechende Anwendungen aus um eine Neuregistrierung durch
einen Restart der Komponente auszulsen.
com.sap.xi.directory (Integration Builder/Configuration)
com.sap.aii.af.app (Adapter-Engine)
com.sap.xi.rwb (Runtime Workbench)
com.sap.xi.repository (Integration Builder/Design)
Das Directory und Repository wird durch einen Aufruf der Startseite im SLD registriert:

148 / 279

rz10.de - die SAP Basis und Security Experten


http://<host>:<port>/dir
http://<host>:<port>/rep
Falls Sie hnliche Probleme im SLD haben und ihnen diese Lsungen nicht weiterhelfen konnten,
interessiere ich mich auf welche Fehler Sie gestoen sind.
Zum Schluss finden Sie im nachfolgenden Link noch einen ntzlichen SAP Hinweis:
1117249 Unvollstndige Registrierung von PI-Komponenten in SLD

Verwandte Beitrge
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI
SAP Basis und SAP Security Berater von RZ10 buchen
CIM-Modell aktualisieren (cimsap & crdelta)
Kontrolleurzuordnung kann nicht gelscht werden

149 / 279

rz10.de - die SAP Basis und Security Experten

Pseudo Sprachinstallation im SAP BW


von Timm Funke - Beitrag vom 2. Februar 2011

Unter Umstnden knnen gesetzliche Bestimmungen dazu fhren, das BW Reports (z.B. fr diverse
Aufsichtsbehrden) in der entsprechenden Landessprache verfasst sein mssen.
Wenn man nun diese Sprache ansonsten nicht zwingend bentigt und deshalb nicht installieren
mchte, kann man folgenden Workaround nutzen:
1. zcsa/installed_languages im Defaultprofil um den Wert X (X jeweils fr die bentigte
Sprache) erweitern
2. zcsa/second_language = E im Defaultprofil
3. Mit dem Report RSCPINST die NLS-Einstellungen um den Wert fr die Sprachte (z.B. PT fr
Portugiesisch) ergnzen
4. In der SMLT die Sprache (wieder das Beispiel: Portugiesisch) mit Auffllsprache Englisch
klassifizieren.
Wenn man sich nun in der neuen Sprache (z.B.Portugiesisch) anmeldet, erscheint das Men in
Englisch und man kann portugiesische Texte eingeben.
Wichtig ist allerdings, dass bei einem Upgrade in der Phase LANG_SELECT die Sprache
(z.B.Portugiesisch) abgewhlt wird. Andernfalls wrden die (portugiesischen) Sprachanteile des
Upgrades importiert. Auerdem muss nach dem Upgrade die Sprachklassifikation wiederholt werden.

Verwandte Beitrge
URLs fr Web Dynpro werden nicht mehr korrekt generiert
Sprachpakte in SAP aktivieren - select one of the installed languages

150 / 279

rz10.de - die SAP Basis und Security Experten

SAP Archiv - SAR-Datei mit SAPCAR entpacken


von Tobias Harmes - Beitrag vom 12. Juli 2013

Dieser Beitrag beschreibt wie ein SAP Archiv (.SAR-Datei) entpackt wird.
Konkreter Fall: Auf einem System soll eine Erweiterung eingespielt werden und es ist notwendig dazu
eine von SAP ausgelieferte .SAR-Datei zu entpacken um den Inhalt nutzen zu knnen.
Die SAR-Datei ist ein Archiv-Format von SAP fr die Auslieferung von verschiedenen Packages. Um
den Inhalt des Paketes nutzen zu knnen muss dieses in der Regel vorher entpackt werden.
Wir bernehmen Betriebsaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Download von SAPCAR


Die SAP bietet ein eigenes Programm SAPCAR, welches im SAP Software Download Center
heruntergeladen werden kann. Zu finden ist es unter:
Support Packages and Patches >> A Z Index >> S >> SAPCAR >> SAPCAR 7.20

Das SAP Archiv entpacken


Auf einem Windows-System erfolgt die Extraktion des Paketinhaltes innerhalb der Konsole. Zuerst
navigiert man zum Ordner in dem das SAR Archiv liegt. An dieser Stelle den folgenden Befehl
ausfhren:
C:> sapcar.exe -xvf <Pfad zum Archiv *****.sar> -R <Pfad zum Ziel>

Beispiel SAP Host Agent


Um den SAP Host Agent manuell zu aktualisieren wird das entsprechende SAP Archiv mit SAPCAR

151 / 279

rz10.de - die SAP Basis und Security Experten


entpackt. Unter Windows werden die Befehle im Command Prompt ausgefhrt. In diesem Beispiel
nutze ich SAPCAR vom Host Agent und navigiere dort hin. Das SAP Archiv fr den Host Agent liegt in
diesem Fall in einem temporren Ordner auf C:\. Daraus ergibt sich folgender Befehl um das SAP
Archiv zu entpacken:
sapcar.exe -xvf C:\temp\SAPHostAgent\SAPHOSTAGENT155_155-20006834.SAR -R
C:\temp\SAPHostAgent\

Der Parameter -R sorgt fr die Ausgabe im Command Prompt, welche Dateien des SAP Archiv
entpackt werden.

So einfach geht es. Ich hoffe ich konnte euch damit helfen und freue mich ber Feedback.

Verwandte Beitrge
SAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master

152 / 279

rz10.de - die SAP Basis und Security Experten

153 / 279

rz10.de - die SAP Basis und Security Experten

SAP Benutzertypen richtig verwenden


von Tobias Harmes - Beitrag vom 16. Mrz 2012

Vielen Kunden fllt es schwer den geeigneten SAP Benutzertypen zu whlen. Insbesondere fr RFCVerbindungen werden die mglichen Benutzertypen oft verwechselt bzw. nicht optimal ausgewhlt.
Hier eine Tabelle mit den Benutzertypen und deren Eigenschaften:

Eigenschaft
GUI Anmeldung
RFC Anmeldung
Erzwingung der
Kennwortnderung
Kennwortablauf
Anmeldeticket
kann
erzeugt werden

Dialog
Ja
Ja
Ja

Kommunikation
Nein
Ja
Ja

System
Nein
Ja
Nein

Service
Ja
Ja
Nein

Ja
Ja

Ja
Ja

Nein
Nein

Nein
Nein

Typische Probleme in diesem Umfeld:


Es werden Benutzer vom Typ Service als technische User fr Nicht-Dialog-Verbindungen
benutzt
Diese vermeintlichen Dienste-User haben oft weitreichende Berechtigungen bis hin zu
SAP_ALL. Allerdings knnen diese User auch von jemand via SAPLOGON genutzt werden. Da
sie keiner Passwortrichtlinie unterliegen, sind sie maximal fr Notfall/Admin-User geeignet.
Ein Benutzer vom Typ Service kann kein Single Sign On verwenden
Da fr diesen Benutzertyp keine Anmeldetickets erzeugt werden, funktioniert auch kein SSO.
Benutzer vom Typ Kommunikation werden fr RFC-Verbindungen genutzt
Der Typ Kommunikation ist fr Benutzer gedacht, die einen alternativen Client via RFC
verwenden. Da sie der Passwortrichtlinie unterliegen sollte man dringend Benutzer vom Typ
System verwenden. Vor allem im Solution Manager Umfeld treten immer wieder abgelaufene
Kennwrter fr automatisch generierte Benutzer vom Typ Kommunikation auf.

Wie kann ich Benutzer eines bestimmten Typs ermitteln?


Dabei hilft das Benutzerinformationssystem, Transaktion SUIM, Benutzer>nach Anmeldedatum und
Kennwortnderung (By logon date und password change)

154 / 279

rz10.de - die SAP Basis und Security Experten

Weitere Links zum Thema:


Hinweis 327917 Neue Benutzertypen ab Release 4.6C

Verwandte Beitrge
Anmeldesprache fr SAP Dialogbenutzer festlegen
SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI
Zustzliche Filter bei der SUIM-Abfrage hinzufgen
berprfung der SAP Standardbenutzer auf Initialkennwort
SAP Basis und SAP Security Berater von RZ10 buchen

155 / 279

rz10.de - die SAP Basis und Security Experten

SAP Emailversand einrichten und testen


von Tobias Harmes - Beitrag vom 1. Juni 2012

Immer mal wieder ntig, hier eine kurze Anleitung:


Die wichtigsten Transaktionen:
SCOT SAPconnect Administration / SMTP Konfiguration
SOST bersicht Sendeauftrge
1. Mailserver ermitteln: es werden Hostname/IP und SMTP-Port bentigt, in der Regel Port 25
2. In die Transaktion SCOT gehen und Doppelklick auf den SMTP Knoten machen. Dabei beachten:
die SCOT ist mandantenabhngig.
Wir bernehmen Betriebsaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

156 / 279

rz10.de - die SAP Basis und Security Experten

Als Adressbereich * auswhlen, damit dieser Knoten fr alle email-Adressen verwendet wird.

3. Default domain setzen, z.B. mindsquare.de

4. Trace setzen

157 / 279

rz10.de - die SAP Basis und Security Experten

5. In der SU01 seine eigene email-Adresse hinterlegen (und fr jeden, der auch Mails versenden will)

6. Testmail versenden ber SO01 oder SBWP

7. In die Transaktion SCOT wechseln, dort sollte die Mail bereits warten. Dort den Sendeprozess
starten, damit die Queue abgearbeitet wird.

158 / 279

rz10.de - die SAP Basis und Security Experten

Den Trace kann man auf Wunsch direkt anzeigen oder spter in der Transaktion SOST auswerten.

8. Wenn alles sauber luft, kann man ber die SM36 den RSCONN01 einplanen. Der startet dann
regelmig den Sendeprozess und arbeitet die Mails aus der Queue ab. Wenn es einen Fehler gibt,
dann kann man in der Transaktion SOST den Trace prfen.
brigens: Empfngerauthentisierung (550 must be authenticated) und erzwungene
Verschlsselung machen in der Regel einen Zwischenstopp ber zum Beispiel ein internes Mailrelay
notwendig. Diese Sicherheitsmechanismen sind leider noch nicht im SAP Standard angekommen.
Weiterfhrende Informationen:
Hinweis 455140 Konfiguration Email,Fax,Paging/SMS ber SMTP
Hinweis 607108 Problemanalyse beim Versand oder Empfang von Emails

Verwandte Beitrge
Netzwerkverbindungen aus dem SAP testen
SAP Portal - UI Elemente fr SAP IDM erstellen und mit Rollen verbinden (How-to)
CCMS-Alerts per E-Mail erhalten
Authentifizierung und Verschlsselung beim E-Mail-Versand
SAP Basis und SAP Security Berater von RZ10 buchen

159 / 279

rz10.de - die SAP Basis und Security Experten

160 / 279

rz10.de - die SAP Basis und Security Experten

SAP Kernel Update durchfhren


von Tobias Harmes - Beitrag vom 25. Juni 2014

hnlich einem Betriebssystem besitzt das SAP-System einen Kern, das zentrale Modul, das die
auszufhrenden Aufgaben (z. B. wenn ein Benutzer ein ABAP-Programm ausfhrt) auf freie
Ressourcen (Workprozesse) verteilt, den Speicher verwaltet und andere Basisdienste leistet. Er bildet
die Schnittstelle zwischen dem zugrundeliegenden Betriebssystem und den SAP-Anwendungen. Der
SAP-Kernel ist ein eigener Proze (disp+work), der jeder SAP-Instanz zugrunde liegt.

Und genau wie bei einem Betriebssystem, sollte auch der Kernel immer auf dem neusten Stand sein.
So werden zum Beispiel Korrekturen am Kernel vorgenommen, die die Stabilitt des SAP Systems
durch Performance-Optimierung oder die Beseitigung von Fehlern sicherstellen. Des Weiteren sind
auch viele Basisfunktionalitten im SAP Kernel enthalten (wie das Security Audit Log), die durch ein
Update positiv beeinflusst werden. Die genauen Verbesserungen, die jede Kernelversion mit sich
bringt, knnen Sie in den dazugehrigen SAP Hinweisen nachlesen.

Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

HowTo zum Download (5 Seiten, Lesezeit ca. 10min)

161 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
HowTo Konfiguration von Adobe Document Services (ADS - SAP)
Fehler "unable to save the local file information" im SAP Download Manager
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host
SAP Basis und SAP Security Berater von RZ10 buchen

162 / 279

rz10.de - die SAP Basis und Security Experten

SAP Management Console lsst sich nicht mehr starten Java


Problem
von Timo Eckhardt - Beitrag vom 30. Mai 2014

Die SAP untersttzt laut eigener Aussagen bestimmte Java 1.7 Versionen nur eingeschrnkt oder gar
nicht. Aus eigener Erfahrung bringt der Einsatz von Java 1.7.xx einige Stolpersteine mit sich, weshalb
man bevorzugt noch die Java Version 1.6.xx nutzen sollte. Fr den Fall, dass man doch Java 1.7.xx
nutzen muss/mchte werde ich hier beschreiben, wie man die Management Console mit Java 1.7
zum Laufen bekommt.

Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Beim ffnen der SAP Management Console ber das jeweilige System http://<hostname>:<Port>13
Erscheint eine der folgenden Fehlermeldungen:
Anwendung durch Sicherheitseinstellungen blockiert

163 / 279

rz10.de - die SAP Basis und Security Experten

Die Anwendung kann nicht ausgefhrt werden

Anwendung kann nicht gestartet werden ungltige Argumente angegeben invalid Arguments

164 / 279

rz10.de - die SAP Basis und Security Experten

Eine Variante wre das gesamte SAP System auf den neusten Stand zu bringen.
Ich mchte hier die Variante vorstellen, in der man die SAP Management Console einzeln auf den
neusten Stand bringt um damit die SAP MMC wieder nutzen zu knnen.
Software Download Center im SAP Net
Dann ldt man sich die entsprechenden neusten Ressourcen der SAP Management Console herunter
unter:

165 / 279

rz10.de - die SAP Basis und Security Experten

Download > Support Packages and Patches > Browse our Download Catalog > Additional
Components > SAP Kernel > SAP KERNEL <32/64-BIT/Unicode> (je nach Ihrer Plattform bzw.
System) > SAP KERNEL 7.20 <32/64-BIT> > <Betriebssystem> > Database Independent.

Dort ldt man die entsprechenden Dateien mit dem Prfix sapmc herunter und entpackt diese mit
SAPCAR auf Filesystemebene. Hierbei wird das Verzeichnis sapmc und deren Inhalt bentigt.

Nun navigiert man in das entsprechende Verzeichnis auf dem jeweiligen SAP System, wo die
veraltete SAPMMC executables ($(DIR_EXECUTABLE)/servicehttp) liegen:
z.B. /usr/sap/<SID>/SYS/exe/uc/<BS_Version>/servicehttp
Hier muss das alte Verzeichnis als Backup umbenannt werden und durch das extrahierte Verzeichnis
ersetzt werden.

Nach einem Restart wird nun die neue SAP Management Console aktiv, die nun auch auf Client
Rechnern mit Java 1.7.xx luft.
1014480 SAP Management Console (SAP-MC)
1792095 Supportability of Java 1.7 with PI Integration Builder client tools
1764895 Java Web Start kann signierte JAR-Dateien nicht verifizieren
1598282 XI/PI:Neue Zertifikate zum Signieren von Jar-Dateien ab 2011
929144 XI/PI:Jar-Dateien mit unterschiedl. Zertifikavten signiert

166 / 279

rz10.de - die SAP Basis und Security Experten


Welche Erfahrungen haben Sie mit der SAP Management Console gemacht? Ich freue mich auf Ihr
Feedback.

Verwandte Beitrge
SAP Basis und SAP Security Berater von RZ10 buchen
SAP Heartbleed: Kein OpenSSL - kein Problem?

167 / 279

rz10.de - die SAP Basis und Security Experten

SAP Oracle Listener startet nicht


von Timo Eckhardt - Beitrag vom 7. Juni 2013

Der SAP Oracle Listener, der fr die Verbindung zwischen SAP/JAVA Instanz und Datenbank
verantwortlich ist, startet nicht mehr. Das verursacht Probleme beim Starten/Herunterfahren mit
Hilfe des startsap und stopsap Scripts.
Der Listener ist erforderlich fr die Kommunikation zwischen Datenbank und SAP/Java System. Der
Listener sollte als Datenbankuser (ora<SID>) gestartet werden knnen. Ist das Starten des Listeners
nicht mehr mglich, fhrt das SAP System / Java Instanz nicht mehr hoch. Diese Problemlsung
bezieht sich auf das Betriebssystem UNIX/Linux.
Um zu sehen ob der Listener gestartet ist fhrt man den Befehl lsnrctl status aus. Im konkreten Fall
sahen die Fehlermeldungen dabei wie folgt aus:
TNS-12541: TNS:no listener TNS-12560: TNS:protocol adapter error TNS-00511: No listener

[]
TNS-00511: No listener Linux Error: 111: Connection refused

Mchte man den Listener mit dem Befehl lsnrctl start starten, erhlt man folgende Fehler:
TNS-12555: TNS:permission denied TNS-12560: TNS:protocol adapter error TNS-00525:
Insufficient privilege for operation
[]
TNS-00525: Insufficient privilege for operation Linux Error: 1: Operation not permitted
Listener failed to start. See the error message(s) above

Um den Fehler zu beheben muss folgendes sichergestellt beziehungsweise durchgefhrt werden:


1. alle Listener mit dem User, der den Listener auch gestartet hat beenden (lsnrctl stop)
2. die Verzeichnisse /tmp/.oracle und /var/tmp/.oracle mssen existieren
3. im Verzeichnis /var/tmp/.oracle kann man sehen welcher User den Listener gestartet hat
srwxrwxrwx 1

<SID>adm

sapsys 0 Apr 16 07:35

s<SID>.WORLD

srwxrwxrwx 1

<SID>adm

sapsys 0 Apr 16 07:35

s<SID>

srwxrwxrwx 1

ora<SID>

dba

0 Apr 16 07:35

s#3032.2

srwxrwxrwx 1

ora<SID>

dba

0 Apr 16 07:35

s#3032.1

In diesem Fall hat der User <SID>adm den Listener gestartet und auch nur dieser kann den
Listener wieder beenden (lsnrctl stop).

168 / 279

rz10.de - die SAP Basis und Security Experten


4. Der Datenbankbenutzer (ora<SID>) hat die Berechtigungen auf die Ordner und alle deren
Unterordner
Nachdem sichergestellt ist, dass der Listener unter keinem anderen User luft, sollten keine
Dateien/Ordner unter /var/tmp/.oracle vorhanden sein. Jetzt kann man als ora<SID> User den SAP
Listener erfolgreich starten. Zur Kontrolle kann man die Dateien/Ordner im Verzeichnis
/var/tmp/.oracle berprfen, hier sollte als Owner berall der ora<SID> User sein.
ora<sid> > lsnrctl start LSNRCTL for Linux: Version 11.2.0.3.0 Production on 15-APR-2013
10:50:56 Copyright (c) 1991, 2011, Oracle. All rights reserved. Starting
/oracle/<SID>/112_64/bin/tnslsnr: please wait []
Service <SID> has 1 instance(s). Instance <SID>, status UNKNOWN, has 1 handler(s) for
this service The command completed successfully

Welche Lsungsmglichkeiten haben Sie bei Listener-Problemen entdeckt? Ich freue mich auf Ihr
Feedback.

Verwandte Beitrge
ORA 28011 z.B. beim Anmelden mit dem SYSTEM Account
ndern der SAP Job Benutzer
brbackup Fehler: ORA-01149 cannot shutdown file 1 has online backup set
Oracle-/DB Administration und Performance Transaktionen
J-Co Destination kann nicht gestartet werden

169 / 279

rz10.de - die SAP Basis und Security Experten

SAP Portal Anmelde-Popup beim ffnen von MS Office-Dateien


von Dominik Busse - Beitrag vom 16. Dezember 2013

Ein im SAP NetWeaver Portal angemeldeter Anwender mchte im SAP Knowledge Management
Dokumente ffnen. Wenn es sich um Microsoft Office-Dateien handelt, erscheint bei jedem Zugriff
eine erneute Authentifizierungsaufforderung (Basic Authentication).

Um die erneute Authentifizierungsaufforderung beim ffnen von Microsoft Office-Dateien verhindern,


gehen Sie wie folgt vor:
1. Navigieren Sie via Content Administration -> Portal Content in die Portal-Content-Verwaltung
2. Innerhalb der Portal-Content-Verwaltung navigieren Sie zum Portal Content -> Von SAP
bereitgestellter Content -> Content fr Endbenutzer -> Standardportalbenutzer -> iViews ->
com.sap.km.iviews -> URL-Zugriff -> KM-Dokument-iView

170 / 279

rz10.de - die SAP Basis und Security Experten


3.
4.
5.
6.

ffnen Sie KM-Dokument-iView zum Bearbeiten


Wechseln Sie von der einfachen Ansicht auf Alle.
Setzen Sie den Wert der Eigenschaft AuthScheme auf default.
Speichern Sie die Einstellungen.

Nachdem Sie diese Einstellung bernommen haben, knnen Sie Microsoft Office-Dateien im SAP
NetWeaver Portal ffnen, ohne bei jeder Office-Datei erneut zur Authentifizierung aufgefordert zu
werden.
Ich freue mich auf Ihr Feedback und hoffe Ihnen mit dieser Anleitung geholfen zu haben.
Den offiziellen SAP-Hinweis finden Sie unter: http://service.sap.com/sap/support/notes/1628343

Verwandte Beitrge
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO
Absolute Hyperlinks in Excel 2010
SAP NetWeaver Identity Management (IDM) Fehlerbehandlung fr PowerShell Aufrufe

171 / 279

rz10.de - die SAP Basis und Security Experten

172 / 279

rz10.de - die SAP Basis und Security Experten

SAP RFC ADS Verbindung funktioniert nicht - Fehler Target


service not allowed
von Silvia Scholer - Beitrag vom 8. Januar 2014

Wenn die Adobe Document Services (ADS) genutzt werden sollen, muss eine http-Verbindung
eingerichtet werden. Hierfr die Transaktion SM59 aufrufen und die ADS Verbindung (Bezeichnung
ADS) bearbeiten oder neu erstellen:

Besteht eine Verbindung bereits, kann per Doppelklick in die Verbindung abgesprungen werden. Es
gilt safety first. Am besten ein Backup der aktuellen Konfiguration erstellen.
Nun werden die Felder wie folgt editiert:

173 / 279

rz10.de - die SAP Basis und Security Experten

Als Verbindungstyp wird G angegeben fr eine HTTP-Verbindung

Als Zielmaschine wird das System eingetragen, auf dem der ADS zur Verfgung stehen soll

Der Pfadprfix lautet: /AdobeDocumentServices/Config?style=rpc

174 / 279

rz10.de - die SAP Basis und Security Experten

Da der ABAP-Stack mit dem Java-Stack ber den ADSUser kommuniziert, wird als Benutzer der
ADSUser gewhlt. Falls dieser noch nicht existiert muss er ber die Transaktion SU01 angelegt
werden.
Zur berprfung der Erreichbarkeit
Verbindungstest ausfhren

fhren

wir

anschlieend

einen

Verbindungstest

aus:

Es wird der Status Target service not allowed angezeigt.

175 / 279

rz10.de - die SAP Basis und Security Experten

Das Problem liegt darin, dass das System einen Proxy verwendet.

Fr den Server muss deshalb eine Proxy-Ausnahme definiert werden. ber die Transaktion SICF kann
diese Definition vorgenommen werden.

176 / 279

rz10.de - die SAP Basis und Security Experten

Bei den Filtereintrgen wird der Server eingetragen, fr den die Proxy-Einstellung nicht gelten
soll. Damit werden fr diesen Server die Proxy-Einstellungen umgangen.

Zur berprfung der Erreichbarkeit fhren wir anschlieend erneut einen Verbindungstest aus:
Verbindungstest ausfhren. Interessanterweise sagt der SAP-Einrichtungsleitfaden, dass hier ein
Fehler erscheint, der allerdings laut Hinweis 1177315 ignoriert werden kann. So auch in unserem
Fall:

177 / 279

rz10.de - die SAP Basis und Security Experten

Nun muss dem Portal noch das System bekannt gemacht werden.

Anschlieend knnen als Konfigurationstest ber die Transaktion SA38 die nachfolgenden drei Jobs
ausgefhrt werden.

FP_TEST_00

FP_PDF_TEST_00 -> Es werden Versionsinformationen angezeigt

Ab NetWeaver Release 7.0 muss zustzlich das Programm FP_CHECK_DESTINATION_SERVICE


erfolgreich laufen

FP_CHECK_DESTINATION_SERVICE -> Es werden die bertragenen Bytes angezeigt

Laufen alle Jobs erfolgreich durch, so ist die RFC-Verbindung hergestellt.

Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
HowTo Konfiguration von Adobe Document Services (ADS - SAP)
ABAP-Webservices mit dem SOA-Manager anlegen

178 / 279

rz10.de - die SAP Basis und Security Experten

179 / 279

rz10.de - die SAP Basis und Security Experten

SAP Speichermodell in Windows Umgebungen


von Timm Funke - Beitrag vom 29. Januar 2011

Fr Performance Untersuchungen ist es natrlich von groer Bedeutung, dass SAP Speichermodell
vor Augen zu haben. Nur dann ist eine entsprechende Einordnung der SAP Parameter und der
gemessenen Werte aus den entsprechenden Transaktionen mglich. Zur Veranschaulichung soll
dieser Beitrag dienen, der das SAP Speichermodell in Windows Umgebungen darstellt.

FLAT Memory Model

Memory Management Windows / SAP => Kernel 7.00

Das Flat-Speichermodell wird mit dem 64-Bit-Windows zur Verfgung gestellt. Dieses Modell bentigt
weniger CPU, aber mehr Speicherplatz.
Es wird mit dem folgenden Profilparameter aktiviert:
es/implementation = flat
Mit dem Flat-Speichermodell werden alle Benutzerkontexte dauerhaft in allen Workprozessen
zugeordnet. Ressourcenintensive Aufrufe, die ein Prozess-Working-Set modifizieren, werden nicht
ausgefhrt und proaktives Auslagern tritt ebenfalls nicht auf.
Dieses Verhalten wird als sehr positiv gewertet, solange die Kontexte in den physischen Speicher
passen. Sobald die grer werdenden Prozess-Working-Sets durch das Betriebssystem beschrnkt
werden, knnte der Seitenwechsel die Performance sehr beeintrchtigen, da das Betriebssystem
zwischen den verwendeten und nicht verwendeten Kontexten nicht unterscheiden kann.
Die Kontexte, die am lngsten im System sind, werden als erstes ausgelagert. Wie viel Speicher
zustzlich bentigt wird, ist benutzerspezifisch und hngt davon ab, wie lange und wie viele Benutzer
inaktiv sind. SAP rechnet zunchst mit ber 30 % mehr physischen Speicher.

180 / 279

rz10.de - die SAP Basis und Security Experten


Mit dem Seitenschutz wird sichergestellt, dass die verschiedenen Benutzerkontexte vor Missbrauch
in anderen Kontexten geschtzt sind. Die Seiten, die zum aktuell ausgefhrten Benutzerkontext
gehren, zhlen allerdings nicht dazu. Windows erzeugt einen betrchtlichen Overhead an CPUVerbrauch beim Schtzen der Seiten. Um wirklich vom Flat- Speichermodell zu profitieren, knnen
der Speicherschutz mit dem folgenden Parameter deaktiviert werden:
es/use_mprotect = false
Dies ist nicht fr Produktiv-Systeme empfohlen, da der SAP Support ein geschtztes Speichermodell
bentigt. Wird der Speicherschutz deaktiviert und treten Probleme auf, die sich auf berschriebene
Speicherbereiche beziehen, kann der SAP Support die Ursache nicht im Detail analysieren.
Ein typisches Szenario fr das ungeschtzte Flat-Speichermodell ist die Operation in einer
virtualisierten Umgebung. Da die Performance der virtualisierten Umgebung sehr sensibel auf die
Anzahl der Systemaufrufe reagiert, reduziert das ungeschtzte Flat- Speichermodell das Laden auf
ESX betrchtlich.

Zero Management Model

Memory Management Windows / SAP < Kernel 7.00

Das klassische SAP-Speichermodell auf Microsoft Windows wurde fr die 32-Bit-Adressierung


entwickelt. Der gesamte Speicher, der fr die ABAP-Transaktion bentigt wird (Benutzerkontext),
wird in einer memory mapped file gespeichert. Der Benutzerkontext wird einem Workprozess
beigefgt, wenn die Transaktion ausgefhrt wird, und am Ende der Transaktion entkoppelt, wenn die
Ausgabe an die Benutzeroberflche gesendet wird.
Im Folgenden werden die Vorteile des klassischen Modells erlutert:
Jeder Benutzer kann den Adressbereich des Prozesses vollkommen ausnutzen. Hierbei wird
jedoch vorausgesetzt, dass der maximale Benutzeradressbereich 3 GB betrgt und Sie noch
Speicherplatz fr das Coding und die Shared Buffer reservieren mssen. Auerdem haben Sie
ca. 2 GB fr den Benutzerkontext zur Verfgung.
Ausschlielich die regelmig verwendeten Kontexte verbleiben im Speicher. Das WindowsBetriebssystem verschiebt die Seiten, die von einem Prozess entkoppelt wurden, in die
modifizierte Seitenliste. Die ltesten Seiten dieser Liste werden ausgelagert.

181 / 279

rz10.de - die SAP Basis und Security Experten


Der Nachteil des klassischen Modells besteht darin, dass die Betriebssystemaufrufe wie z. B.
MapViewOfFile() sehr ressourcenintensiv sind, da die Prozessseitentabelle neu organisiert werden
muss. Dieser Vorgang beansprucht auerdem einen kritischen Bereich innerhalb von Windows, in
dem die Prozesse insbesondere auf den Multi-CPU-Servern serialisieren knnten.
Weitere Informationen ber die verschiedenen SAP Speichermodelle auf Windows Betriebssystemen
enthlt der SAP Hinweis # 1002587 Flat-Speichermodell auf Windows
und der SAP Hinweis # 88416 Zero Administration Memory Management ab 4.0A/ Windows.

Verwandte Beitrge
Performance Analysen im BW ein erster Ansatz
Wichtige Transaktionen fr Performance Untersuchungen
Performanceoptimierung der SAP BW Landschaft
Betriebssystembefehle via Transaktion ausfhren

182 / 279

rz10.de - die SAP Basis und Security Experten

SAP ST03N nderung der Aufbewahrungszeit von genutzten


Transaktionen
von Silvia Scholer - Beitrag vom 6. Dezember 2013

Die Daten fr die SAP ST03N (Systemlastmonitor, Workload Monitor) werden standardmig 3
Monate gesammelt und gespeichert. Oftmals ist es aber gewnscht, dass die Daten fr einen
lngeren Zeitraum gespeichert werden. Zum Beispiel, wenn man im Zuge von
Berechtigungsprojekten die in der Vergangenheit genutzten Transaktionen analysiert. Um die
Aufbewahrungszeit zu verlngern, mssen folgende Schritte durchgefhrt werden.
Aufruf Transaktion ST03N

Fr Systeme ab Release 700:


Kollektor & Performance Datenbank -> Performance-Datenbank -> Workload Kollektor Datenbank ->
Reorganization -> Steuerung

183 / 279

rz10.de - die SAP Basis und Security Experten

Die gewnschten Einstellungen knnen hier vorgenommen werden. Nach dem Speichern werden die
Daten fr die angegebene Zeit aufbewahrt.
Fr ltere Systeme knnen die Einstellungen durch folgenden Pfad vorgenommen werden:
Kollektor & Performance Datenbank -> Performance-Datenbank -> Monitoring Datenbank ->
Reorganization

184 / 279

rz10.de - die SAP Basis und Security Experten

Der entsprechende Hinweis dafr:


6833 Lschen der Statistikdatei, Gre d. Statistikdatei
Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
Wichtige Transaktionen fr Performance Untersuchungen
Genutzte Transaktionen aus dem SAP Workload Monitor ST03N exportieren

185 / 279

rz10.de - die SAP Basis und Security Experten

SAP Systeme deinstallieren mit dem SAP Software Provisioning


Manager
von Tobias Harmes - Beitrag vom 4. Mai 2013

Mein Kollege Tobias Harmes hat in seinem Blogbeitrag SAP Solution Manager 7.1 sapinst SPM
anstelle Installation Master anhand des SAP Solution Managers 7.1 gezeigt, dass die SAP
zunehmend den SAP Software Provisioning Manager zur Installation ihrer Produkte verwendet
anstelle des altbekannten Installation Masters.
Aber auch bei der Deinstallation von SAP Systemen kommt der SAP Software Provisioning Manager
zum Einsatz.
Um ein SAP System zu deinstallieren, fhrt man den SAP Provisioning Manager aus, als wolle man
eine Installation durchfhren. Unter dem Punkt Generic Installation Options werden die
Deinstallationsroutinen gefhrt. Das Besondere an dieser Stelle gegenber der Installation ber den
SAP Software Provsioning Manager ist der, dass die Deinstallationsroutinen unabhngig vom
installierten SAP System funktionieren. Lediglich ber die Art der Datenbank wird eine
Unterscheidung getroffen.
In dem Beispiel aus der Abbildung, handelt es sich um ein SAP System auf Basis eine MaxDB.

Nachdem man in Schritt 2 Define Parameters, unter Hilfestellung des SAP Software Provisioning
Managers, weitere Angaben zum SAP System vorgenommen hat, werden in einer bersicht die
Eckdaten des zu deinstallierenden Systems noch einmal aufgefhrt. Einen Auszug einer solchen
bersicht knnen Sie der folgenden Abbildung entnehmen.

186 / 279

rz10.de - die SAP Basis und Security Experten

ber Next gelangen Sie dann in Schritt 4, in dem die Deinstallation durchgefhrt wird.
Wie sind Ihre Erfahrung mit Deinstallationen im SAP Umfeld? Haben Sie evtl. sogar schon eine
Deinstallation auf diesem Weg durchgefhrt? Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host
Sprachpakte in SAP aktivieren - select one of the installed languages

187 / 279

rz10.de - die SAP Basis und Security Experten

SAP Transport Status zurcknehmen


von Tobias Harmes - Beitrag vom 26. Mrz 2014

Das Transportwesen ist essentieller Bestandteil im SAP Umfeld und gehrt in den Bereichen des
Customizings bzw. der Entwicklung zum Tagesgeschft. Ein SAP Transport mit mehreren Beteiligten
und damit mehreren Transportaufgaben ist keine Seltenheit. Doch wie gehen Sie damit um, wenn
eine Transportaufgabe flschlicherweise freigegeben wurde oder Inhalte in einem falschen
Transportauftrag erfasst und freigegeben werden? Die Transportaufgabe ist durch die Freigabe
gesperrt und kann aus dem Transportauftrag nicht mehr entfernt werden. Evtl. wollen Sie auch den
ganzen Transportauftrag lschen. Auch diese Option bleibt Ihnen verwehrt, sobald Aufgaben im SAP
Transport freigegeben sind. Die Standardvorgehensweisen sind sehr umstndlich und kosten nicht
nur viel Zeit, sondern besitzen auch ein gewisses Risikopotential.

Wenn Ihnen das bekannt vorkommt, wird Ihnen der folgende Trick die Arbeit an dieser Stelle
erleichtern.
Die SAP liefert im Standard einen Report mit aus, der fr genau diese Szenarien zum Tragen kommt,
nmlich der Report RDDIT076.

Die Ausgangssituation knnte so hnlich aussehen, wie auf der folgenden Abbildung.

Starten Sie nun im ersten Schritt den Report ber die Transaktion SA38. Sie gelangen daraufhin auf
einen Selektionsbildschirm, in dem Sie den Transportauftrag bzw. die Transportaufgabe eingeben
knnen. In diesem Beispiel wurde der Transportauftrag angegeben.

Nachdem Sie die Eingabe besttigt haben, gelangen Sie auf eine bersichtsseite. Auf dieser knnen
Sie die zu ndernden Eintrge einzeln markieren und sich die Details anzeigen lassen. Wechseln Sie
nun in den Bearbeitungsmodus und nehmen Sie zum Beispiel die nderung des Status vor, um die
Freigabe rckgngig zu machen. Besttigen und Speichern Sie zum Schluss die nderungen.
Natrlich knnen ber diesen Report auch die anderen Eigenschaften des (SAP Transport-)Auftrags
gendert werden.

188 / 279

rz10.de - die SAP Basis und Security Experten

Wie Sie der Abbildung entnehmen knnen, ist die Transportaufgabe zurckgesetzt worden und
befindet sich wieder im Entwicklungsstatus.

Welche Reports haben Ihnen schon viel Zeit und Mhe erspart? Ich freue mich auf Ihre Antworten.

Verwandte Beitrge
TP Befehle zur Transportsteuerung
Transportauftrag aus Importqueue lschen
Importeinplanung von Transportauftrgen via STMS
Transporteur zu SAP Transport ermitteln
Ausplanen eines eingeplanten Importauftrags

189 / 279

rz10.de - die SAP Basis und Security Experten

190 / 279

rz10.de - die SAP Basis und Security Experten

SAP User gesperrt: Analyse und Ursachenforschung am


Beispiel XI/PI
von Timo Eckhardt - Beitrag vom 5. April 2013

Im SAP XI/PI sperrt sich nach einer Passwortnderung fr einen technischen User der Benutzer
(XIAPPL / PIAPPL USER) in regelmigen Abstnden immer wieder selbst.

Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwenden
mssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafte
Kennwortanmeldung zu vermeiden. Hierfr dient folgender Hinweis als Hilfe, er zeigt auf an welchen
Stellen technische XI / PI User zum Einsatz kommen knnen und wo die nderungen gepflegt werden
mssen: https://service.sap.com/sap/support/notes/999962
Transaktion SU01 im R/3-System
Exchange Profile
SLDAPICUST
SM59-Destination INTEGRATION_DIRECTORY_HMI
SM59-Destination SAPXIPP*
Data Supplier des SLD in der J2EE
PMI-Store-Destination in der J2EE
RFC-Destinationen in der J2EE
Destination in J2EE fr die sichere Kommunikation zwischen ABAP und Java
SM59-Verbindungen fr End-to-End-Monitoring
SM59-Verbindungen fr das GRMG-Monitoring
Verbindungen von sendenden Business-Systemen
Wenn die nderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immer
auftritt, stellt sich die Frage
Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen noch
kommen?
hierzu hilft folgender SAP Hinweis https://service.sap.com/sap/support/notes/1665838

Transaktion SM21 (Systemlog) ausfhren


Zeitpunkt auswhlen Zeitpunkt herum, an dem der User wahrscheinlich gesperrt wurde -> SysLog
neulesen

191 / 279

rz10.de - die SAP Basis und Security Experten

Syslog anzeigen
Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt

Der Benutzer SAPJSF deutet darauf hin, dass der User XIAPPLUSER von einer JAVA-Anwendung
gesperrt wird. SAPJSF ist ein interner UME Benutzer, der fr die Kommunikation zwischen Java und
ABAP verantwortlich ist.
Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendem
Verzeichnis befinden:
/usr/sap/<SID>/<inst#>/j2ee/cluster/server#/log/system/httpaccess/responses*.trc
In aktuellsten der Dateien ist nun nach hufigem Auftreten von folgenden Fehlern zu suchen:
Unauthorized HTTP Responses im HTTP-Response-Protokol

[Mar 19, 2013 9:50:05 AM ] 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95]
[Mar 19, 2013 9:50:07 AM ] 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18]
[Mar 19, 2013 9:50:09 AM ] 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27]
[Mar 19, 2013 9:50:11 AM ] 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]
[Mar 19, 2013 9:50:13 AM ] 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

HTTP/1.1 401 weit auf den Error 401 hin, der auf unautorisierten Zugriff schlieen lsst. Mithilfe der
IP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mit
falschen User Credentials aufzubauen. Es ist abhngig von der Systemkonfiguration, wann ein User
nach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche).
Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von

192 / 279

rz10.de - die SAP Basis und Security Experten


Benutzername und Kennwort ber die URL /sld/cimom genutzt. Hierfr prfen Sie die Einstellungen
des CIM-Clients auf dem Host 11.22.33.44. Sie enthalten ein falsches Kennwort fr XIAPPLUSER /
PIAPPLUSER. Damit haben Sie den beltter fr die Benutzersperrung ausfindig gemacht und knnen
die korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktieren
Sie uns, wir helfen Ihnen gerne.
Eine Mglichkeit die Abhngigkeiten anderer Systeme zu vermeiden besteht darin einen
eigenen technischen User fr jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSER
zu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL<SYSID>
/ PIAPPL<SYSID> erfolgen (z.B. XIAPPLABC fr SID=ABC).
Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dass
die Kommunikation gestrt wird.
Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemein
gltigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt.
Referenzen SAP Notes
#999962 PI 7.10: ndern der Kennwrter von PI-Service-Benutzern
#1665838 Ursache fr Sperrung eines technischen PI-Benutzers herausfinden
#1493272 Benutzer wird automatisch gesperrt

Verwandte Beitrge
Massensperren von Benutzern via SU10
SAP Benutzertypen richtig verwenden
J-Co Destination kann nicht gestartet werden
PI-Komponenten fehlen im SLD
IDoc Status manuell ndern

193 / 279

rz10.de - die SAP Basis und Security Experten

SAP-Stern freischalten
NetWeaver aktivieren

Notfallbenutzer

SAP*

in

SAP

von Andre Tenbuss - Beitrag vom 26. November 2014

Haben Sie sich schon einmal aus dem SAP System ausgeschlossen und nach einem Weg gesucht,
den Notfallbenutzer SAP-Stern freischalten zu knnen (Benutzer SAP*)? Mglicherweise kennen Sie
folgendes Szenario: Im Rahmen der Vorbereitungen fr eine Wartung sollen alle Benutzer in den
Produktivmandanten gesperrt werden. Das ist z.B. mit Hilfe der SU10 schnell gemacht. Vergisst man
nun z.B. den DDIC-Benutzer aus der Liste zu entfernen oder ist dieser beispielsweise durch zu viele
Falschanmeldungen gesperrt, dann ist man aus dem System ausgesperrt.

Es gibt zahlreiche Grnde, welche die Ursache fr einen Mandanten ohne ungesperrten Benutzer
sein knnen. Im besten Fall lsst sich das Sperrkennzeichen bei einem Benutzer direkt aus der
Datenbank lschen. Was ist aber zu tun, wenn die Kennwrter der Administrator-Benutzer nicht
bekannt sind? Auch dafr gibt es einen Weg, welchen ich Ihnen heute gerne vorstellen mchte.
Mit dem Notfallbenutzer SAP* kann man sich an ABAP-Systemen anmelden, auch wenn alle Benutzer
gesperrt oder gelscht wurden. Dieser Standardbenutzer ist im Programmcode des Systems definiert
und verfgt ber uneingeschrnkte Zugriffsberechtigungen. Bevor Sie weitere Schritte versuchen,
sollten Sie in jedem Fall testen, ob das Standardkennwort des Benutzers (PASS) funktioniert
[Anmerkung: Aus Sicherheitsgrnden sollten Sie die Standardkennwrter der Standardbenutzer
dringend ndern!]
Der Kernel-Benutzer SAP* kann ber einen Profilparameter aktiviert werden. Bei der Installation
eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm fr SAP* angelegt.
Es gibt zwei Schutzmechanismen:

1. Der Benutzer kann ber Profilparameter aktiviert werden.


2. ber einen gleichnamigen Benutzerstamm fr SAP* kann dieser berlagert werden.
Nachfolgend wird beschrieben, welche Schritte Sie ausfhren mssen, um den Notfallbenutzer SAPStern freischalten zu knnen (Benutzer SAP*).

Profilparameter
Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den
Wert 0 gesetzt werden. Dies kann bspw. ber die Transaktion RZ10 ausgefhrt werden. Das System
muss anschlieend neu gestartet werden.

Benutzerstamm
Damit eine Anmeldung am System mglich ist, muss sichergestellt werden, dass der Notfallbenutzer
nicht von einem gleichnamigen Benutzer SAP* bersteuert wird. Falls das so ist, muss der
gleichnamige Benutzer via SU01 umbenannt werden.

194 / 279

rz10.de - die SAP Basis und Security Experten

SAP-Stern freischalten
Falls eine Anmeldung am System jedoch nicht mglich ist, kann dies auch direkt per SQL in der
Datenbank gendert werden. Mit folgenden Befehl kann fr einen bestimmten Mandanten der Name
des Benutzers SAP* aus dem Benutzerstamm gendert werden:
update [SCHEMA].usr02
set BNAME=SAP*_old
where BNAME=SAP* and MANDT=[Zielmandant]
Fr das <SCHEMA> der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der
existierende Benutzerstamm auch gelscht werden. Bitte beachten Sie, dass das SQL-Kommando
unter Umstnden an das jeweilige Datenbank-Management-System angepasst werden muss. Bitte
prfen Sie den Befehl genau, bevor Sie das Kommando ausfhren.
Sobald Sie den Benutzer SAP-Stern freischalten konnten, ist eine Anmeldung mit dem
Standardkennwort PASS mglich. Dieses Password ist im Programmcode festgesetzt und kann nicht
gendert werden.
Nach der Reparatur muss der Profilparameter login/no_automatic_user_sapstar wieder auf einen
Wert grer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* mit generiertem Kennwort angelegt
werden. Dieser sollte der Benutzergruppe SUPER angehren, gesperrt sein und ber keine
Berechtigungen verfgen.
Haben Sie noch weitere Tipps oder Ergnzungen? Ich freue mich auf Ihr Feedback!

Verwandte Beitrge
berprfung der SAP Standardbenutzer auf Initialkennwort
SAP Basis und SAP Security Berater von RZ10 buchen
Mandantenbergreifende SAP Benutzerliste erstellen

195 / 279

rz10.de - die SAP Basis und Security Experten

Saprouter als Service mit SNC


von Timm Funke - Beitrag vom 26. Juni 2012

Soll ein saprouter unter Windows als Service installiert werden und dabei auch noch SNC mit der
Option k aktiviert werden, so ist die mit einem kleinen Trick mglich.
C:usrsapsaprouter>ntscmgr install SAProuter -b c:usrsapsaproutersaprouter.exe -p service -r -K
^p:CN=Server, OU=0000123456, OU=SAProuter, O=SAP, C=DE^ -Y 0 -C 1000 -D -G
c:usrsapsaproutersaprouter.log -J 50000000
Dort wo die ^stehen mssen eigentlich Anfhrungsstriche stehen. Das funktioniert aber nicht richtig,
da die Parameter schon komplett mit Anfhrungsstrichen eingeklammert sind.
Ist der Dienst nun erst mal installiert, kann man die notwendige Anpassung in der Registry
vornehmen:
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSAProuterImagePath die beiden
(^) in () umstellen

196 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
Netzwerkverbindungen aus dem SAP testen
Fehler beim Registrieren des saprouter Dienstes

197 / 279

rz10.de - die SAP Basis und Security Experten

SDCCN manuell konfigurieren


von Silvia Scholer - Beitrag vom 10. Oktober 2014

Mittels der Transaktion SDCCN werden neben der EWA Generierung auch die Wartungszertifikate
automatisch in den ABAP Systemen eingespielt. Bei Java Systemen geschieht dies durch die
Konfiguration der SMD-Agenten. Fr den Fall, dass die EWA Generierung oder die Wartungszertifikate
nicht automatisch eingespielt werden, muss die SDCCN Konfiguration geprft und ggfs. angepasst
werden.

Voraussetzungen fr die manuelle Konfiguration:


Das ABAP System ist im SolMan unter Konfiguration verwalteter Systeme eingerichtet. Im
Schritt Systemparameter eingeben muss EWA-Alerts im Alert-Eingang aktiviert sein. Bei
der automatischen Konfiguration mssen die Services aktiviert sein
Die Back-RFC Verbindung zum SolMan muss im verwalteten System eingerichtet sein.
Manuelle Konfiguration:
ber Springen->Einstellungen->Aufgabenspezifisch die aufgabenspezifischen Einstellungen ffnen.
Dies ist notwendig, damit die Back-RFC Verbindung eingetragen werden kann.

Danach die RFC Destinations ffnen.

198 / 279

rz10.de - die SAP Basis und Security Experten

Unter dem Reiter Destinationen wird die Back-RFC Verbindung als neue RFC Verbindung
eingetragen. Die Funktion der RFC Verbindung wird beim anschlieenden Sichern geprft. Ggfs.
muss bei sehr alten SAP Releases das Benutzerkennwort neu vergeben werden.

Nach dem Sichern ist die Back-RFC Verbindung zum SolMan erfolgreich eingetragen.

Jetzt ist die SDCCN richtig konfiguriert, damit EWAs automatisch generiert und Wartungszertifikate
automatisch eingespielt werden. Zum Testen der neuen Konfiguration starten wir einen
Funktionstest. Dazu muss eine neue Aufgabe Maintenance Package eingeplant werden um die
Verbindung zu testen. Im nachfolgenden Beispiel erfolgt die einmalige Ausfhrung des Jobs
Maintenance Package. Hier ist zu beachten, dass bei RFC-Masterdestination die Back-RFC
Verbindung zum SolMan eingetragen ist.

199 / 279

rz10.de - die SAP Basis und Security Experten

Nach dem Ausfhren erscheint unter dem Reiter Erledigt beim Status ein grner Hacken, der das
erfolgreiche Ausfhren des Jobs symbolisiert. Was genau der Job macht, steht im Jobprotokoll.

Der vorhandene, regelmig eingeplante Job Maintenance Package muss nicht umgeplant werden.
Bei der nchsten Jobausfhrung wird die Back-RFC Verbidung zum SolMan verwendet, selbst wenn
bei der Aufgabe ein anderes System eingetragen ist. Wem das strt, kann die Jobeinplanung auch
lschen und neu anlegen.

Welche Erfahrungen haben Sie mit dem automatischen Einplanen von Wartungszertifikaten
gemacht? Ich freue mich auf Ihre Antworten.

Verwandte Beitrge
Datenbankgre wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt

200 / 279

rz10.de - die SAP Basis und Security Experten


Wartungszertifikate automatisch ber den SAP Solution Manager beziehen
SAP Basis und SAP Security Berater von RZ10 buchen
Fehlerhafte Darstellung der Alert Inbox

201 / 279

rz10.de - die SAP Basis und Security Experten

Single Sign On fr SAP GUI


von Timm Funke - Beitrag vom 1. Februar 2011

Einrichtung SNC fr SAP auf Windows


Teil 1 Voraussetzungen und Hinweise
Kerberos Single Sign-On (SSO) bietet eine einfache und sichere Anmeldemethodik fr ein SAP
System. Sie eignet sich, wenn Windows 2000 oder hher verwendet wird.
Sofern das System fr SSO konfiguriert ist, kann ein berechtigter Benutzer, der an Windows
angemeldet ist, auf das SAP-System zugreifen, indem er es einfach im SAP-Logon-Fenster auswhlt
oder eine Verknpfung verwendet. Der Benutzer braucht nicht bei jeder Anmeldung am SAP-System
ber SAP GUI fr Windows eine Benutzerkennung und ein Kennwort einzugeben. Daher erleichtert
SSO die Verwaltung der SAP-Systembenutzer.
Wir bernehmen Betriebsaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis Berater von RZ10
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.175403-22 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Der Microsoft Kerberos Security Service Provider (SSP) bietet sichere Authentifizierung plus
Verschlsselung der Netzwerkkommunikation.

202 / 279

rz10.de - die SAP Basis und Security Experten

Folgende Hinweise und Dokumentationen sind zu beachten. Wie das ganze eingerichtet und
konfiguriert wird, werde ich in meinem nchsten Beitrag zusammenstellen.
SAP Hinweise
352295 Microsoft Windows Single-Sign-On-Optionen
1257108 Sammelhinweis: Analyse von Single Sign On (SSO)-Problemen
595341 Installation issues with Single Sign-On and SNC
1043694 Schl. Performance bei Verwendung von SNC fr SSO
184277 Lngenbeschrnkungen von SNC-Namen
150699 Neueste Patches fr SNC-Probleme
1153116 Work Center: SAP SSO berschreiben
SAP Installationsguides
SAPNW700 InstallGuide mit SNC SSO Kapitel
SAP Online Help
http://help.sap.com/saphelp_nw73/helpdata/DE/44/0ebf6c9b2b0d1ae10000000a114a6b/frameset.ht
m
Weitere Infos, Whitepaper von Microsoft
http://www.microsoft.com/isv/sap/technology/interop/ad.aspx
Verfahren / Tool zum Rcksetzen von SAP Benutzer Passwrtern
http://download.microsoft.com/download/5/7/f/57f1490e-8a8d-497b-bbaeec2a44b3799f/Password_Reset.pdf

Verwandte Beitrge
SSO Troubleshooting Checklist

203 / 279

rz10.de - die SAP Basis und Security Experten


Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible
Single Sign On mit KeePass

204 / 279

rz10.de - die SAP Basis und Security Experten

Single-Sign-On:
SSO2-Wizard

Trust-Verbindung

einrichten

mit

dem

von Eiko Wagenknecht - Beitrag vom 8. Januar 2015

Damit Benutzer eines SAP Portals ohne erneute Anmeldung Anwendungen eines SAP ERP-Systems
nutzen knnen, ist die Einrichtung von Single-Sign-On erforderlich. Hierfr muss das Portalsystem im
ERP-System als Trusted System hinterlegt werden. Alternativ zur klassischen Herangehensweise
gibt es das SSO2-Tool, welches mit dem Portal mitgeliefert wird und diese Aufgabe stark vereinfacht
und automatisiert.

Schritt 1: Das SSO2-Tool aufrufen


Zum Start des Tools wird die folgende URL aufgerufen:
http://<host>:<port>/sso2 (Host und Port des Portalsystems)
Durch den im Screenshot markierten Statuseintrag wird angezeigt, welches System gerade verwaltet
wird.
Dort steht nach dem Aufruf des SSO2-Tools zunchst das Portalsystem. Es wird dementsprechend
eine Liste der Systeme angezeigt, zu denen vom Portal aus eine Trust-Verbindung besteht.

Schritt 2: Verwaltungs-Verbindung zum ERP-System hinzufgen


Da fr den oben beschriebenen Anwendungsfall die umgekehrte Richtung interessant ist, also dem
ERP-System das Portalsystem als Trust-Verbindung hinzugefgt werden soll, ist der nchste Schritt
der Wechsel des verwalteten Systems auf das ERP-System. Dieser Wechsel findet ber den
Button Verbindung zu entferntem System herstellen statt. Im sich ffnenden Dialog sind die
Verbindungsdaten zum ERP-System sowie ein ausreichend befugter Benutzeraccount einzutragen.

205 / 279

rz10.de - die SAP Basis und Security Experten

Wenn das Einloggen auf dem entfernten System funktioniert hat, steht dann an dieser Stelle der
entsprechende Systemname.

Schritt 3: Hinzufgen des Portals als Trusted System


Das eigentliche Hinzufgen des Portalsystems als Trusted System geschieht ber die Funktion
Trusted System hinzufgen -> Durch Abfrage des Trusted Systems. Hierdurch gleicht sich das
System automatisch mit dem hinzuzufgenden System ab richtet dieses als Trusted System ein.

Auch an dieser Stelle wird nochmals ein entsprechend befugter Benutzeraccount bentigt, diesmal
von dem Portalsystem.

Ist auch hier der Login erfolgreich verlaufen, wird vor der Einrichtung noch eine letzte Besttigung
angezeigt.

Nach Abschluss des Assistenten ist das Portalsystem nun bei dem ERP-System als Trusted System
hinterlegt.
Welche Erfahrungen haben Sie mit Single-Sign-On gemacht? Ich freue mich auf Ihre Kommentare.

206 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
SAP Basis und SAP Security Berater von RZ10 buchen
Single Sign On mit KeePass
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible

207 / 279

rz10.de - die SAP Basis und Security Experten

Spool-Auftrge manuell lschen


von Dominik Busse - Beitrag vom 3. Februar 2015

Der Spool-Bereich ist vollgelaufen und muss bereinigt werden, da die Spool-Auftrge stillstehen. Im
Folgenden erklre ich Ihnen, wie Sie mithilfe eines Reports manuell aufrumen knnen.

Spool-Auftrge mithilfe des Reports RSPO1041 lschen


Im Zuge der Bereinigung des Spool-Bereichs mssen obsolete Spool-Auftrge gelscht werden.
Hierzu verwenden Sie den Report RSPO1041. Fhren Sie diesen zunchst mit der Transaktion SA38
aus:

Es erscheint die Eingabemaske zum Lschen alter Spool-Auftrge. In dieser Eingabemaske knnen
nun die Kriterien zum Lschen der Spool-Auftrge festgelegt werden. Diese Kriterien beschreibe ich
im Folgenden.

Kriterien zum Lschen von Spool-Auftrgen


Die oberen vier Bereiche in der Eingabemaske beziehen sich auf den Status der zu lschenden SpoolAuftrge:

208 / 279

rz10.de - die SAP Basis und Security Experten

Ohne Ausgabeauftrag: Bezieht sich auf alle Spool-Auftrge, fr die kein Ausgabeauftrag
erstellt wurde.
In Arbeit: Bezieht sich auf alle Spool-Auftrge, die sich im Status in Arbeit befinden.
Fertige: Bezieht sich auf alle Spool-Auftrge, die erfolgreich bearbeitet (gedruckt und ggf.
archiviert) wurden.
Fehlerhafte: Bezieht sich auf alle Spool-Auftrge, bei deren Bearbeitung ein Fehler
aufgetreten ist.
Fr jeden Status kann nun einzeln festgelegt werden, ob und fr welchen Zeitraum diese gelscht
werden sollen. Hierfr wird der jeweilige Kasten vor dem Status angekreuzt und anschlieend eine
Zeitangabe in Tagen (lter als Tage) gemacht. Die Angabe lter als Tage bezieht sich dann

209 / 279

rz10.de - die SAP Basis und Security Experten


auf alle Spool-Auftrge, die vor dem angegebenen Zeitraum erzeugt wurden. Zustzlich kann auch
angekreuzt werden, dass die Spool-Auftrge gelscht werden, die veraltet sind. Das wiederum
bezieht sich auf alle Spool-Auftrge, die das bei der Erzeugung erstellte Verfallsdatum bereits
berschritten haben. Dieses Verfallsdatum betrgt im Standard 8 Tage.
Im darunter liegenden Bereich Kalender kann spezifiziert werden, welche Tage einer Woche fr die
Berechnung der Angabe lter als Tage herangezogen werden sollen. Hier wird zwischen allen
Tagen oder nur Werktagen unterschieden. In jedem Fall muss ein Werkskalender im Feld
Fabrikkalender-ID angegeben werden.

Im untersten Bereich Weitere Bedingungen knnen die Kriterien zum Lschen von Spool-Auftrgen
weiter eingeschrnkt werden:

Hierbei knnen Sie zunchst Systemname und Mandant eingrenzen. Auerdem lsst sich auch der
Erzeuger (Username) der zu lschenden Spool-Auftrge einschrnken. Noch genauere
Einschrnkungen knnen mithilfe der Kriterien Titel (des Spool-Aufrags), Spool-Auftragsname,
Spool-Auftrag (Suffix1), Spool-Auftrag (Suffix2) und Ausgabegert erzielt werden. Dadurch lassen
sich ganz bestimmte Spool-Auftrge filtern:
Titel: Der Titel, der auf dem Deckblatt des Auftrags erscheinen soll. (Nur verfgbar, wenn das
Ausgabegert das SAP-Standarddeckblatt druckt.)
Spool-Auftragsname: Dreiteiliger Name eines Spoolauftrags, wobei der Name automatisch
vom Spool-System bestimmt wird, kann aber auch vom erzeugenden Benutzer bzw.
Programm eingetragen werden. Es gibt keine zwingende Namenskonvention.
Spool-Auftrag (Suffix): Dieses Feld entspricht laut F1-Hilfe dem Feld Spool-Auftragsname. Ein
Spool-Auftrag kann sowohl einen Spool-Auftragsnamen als auch einen Titel besitzen. Ersterer
wird automatisch vom Spool-System erzeugt, letzterer muss explizit vom erzeugenden
Benutzer bzw. Programm eingetragen werden.
Ausgabegert: Langer Name eines Ausgabegertes. Der lange Name kann bis zu 30 Zeichen
umfassen. Beachten Sie Gro-/ Kleinschreibung des Ausgabegerts.

210 / 279

rz10.de - die SAP Basis und Security Experten


Nachdem alle Kriterien nach Ihren Wnschen festgelegt wurden, kann der Report ausgefhrt
(Ausfhren F8) werden und die entsprechenden Spool-Auftrge werden gelscht. Wenn Sie
zunchst nur einen Probelauf durchfhren mchten, um zu prfen, welche Spoolauftrge gelscht
werden sollen, finden Sie unterhalb des Bereiches Kriterien zur Auswahl der zu lschenden SpoolAuftrge noch die Option Nur Protokoll ohne Lschen?

Wie hufig sollten Spool-Auftrge gelscht werden?


Das oben beschriebene manuelle Vorgehen ist besonders dann sinnvoll, wenn der Spool-Bereich
bereits vollgelaufen ist. Eine periodische Einplanung des Lschjobs im Hintergrund ist oft sinnvoller.
Es ist in jedem Fall empfehlenswert, die Spool-Auftrge regelmig zu lschen, wobei die Hufigkeit
vom jeweiligen System abhngig gemacht werden muss. Allerdings sollten Sie bedenken: Je seltener
die Spool-Auftrge gelscht werden, desto lnger wird der Lschvorgang dauern und desto eher wird
sich dieser auf die Performance des Gesamtsystems auswirken. Folglich sollten Sie Spool-Auftrge
regelmig und fter Lschen, da dann mit jedem Lschvorgang auch weniger Spool-Auftrge auf
einmal gelscht werden mssen.
Wie sind Ihre Erfahrungen mit dem Lschen von Spool-Auftrgen? Fhren Sie den Report zum
Lschen von Zeit zu Zeit manuell aus oder haben Sie diesen bereits als Job im Hintergrund
eingeplant? Ich freue mich auf Ihre Antworten und Kommentare!

Verwandte Beitrge
Wichtige Transaktionen fr Performance Untersuchungen
Neue Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace
SAP Basis und SAP Security Berater von RZ10 buchen
Transportauftrag aus Importqueue lschen
Ausplanen eines eingeplanten Importauftrags

211 / 279

rz10.de - die SAP Basis und Security Experten

Sprachpakte in SAP aktivieren - select one of the installed


languages
von Tobias Harmes - Beitrag vom 12. Juni 2013

Vielleicht kennen Sie das Problem. Sie haben ein neues SAP System aufgesetzt oder ein weiteres
Sprachpaket in Ihrem System erfolgreich installiert und wollen die Anmeldesprache auf dem
Applikationsserver auf eine andere Sprache setzen. Bei der Anmeldung erscheint aber die
Fehlermeldung select one of the installed languages. Ich selbst bin auf diese Meldung bei der
Umstellung der Anmeldesprache auf einem Netweaver 7.31 ERP 6 EhP 6 gestoen.

Bevor Sie ein Sprachpaket aktivieren vergewissern Sie sich, dass Sie alle Vorarbeiten erfolgreich
abgeschlossen haben. Dazu gehren folgende zwei Punkte.
1. Die Sprache ist im System installiert
2. Die Profilparameter in der Transaktion RZ10 sind gesetzt
Fr den ersten Punkt gengt ein Blick in die Transaktion SMLT. Dort sind alle installierten Sprachen
aufgelistet. Punkt Nummer zwei wird detailliert im Blogbeitrag Anmeldesprache fr SAP
Dialogbenutzer festlegen von meinem Kollegen Tobias Harmes beschrieben.
Sind beide Punkte erledigt folgt der eigentliche Teil.
Starten Sie die Transaktion I18N und whlen Sie, wie in der Abbildung gezeigt, die System
Konfiguration aus.

Im Darauf folgenden Men fgen Sie die gewnschte Sprache in der Liste hinzu. In der Abbildung
wurde die Sprache Deutsch hinzugefgt.

212 / 279

rz10.de - die SAP Basis und Security Experten

213 / 279

rz10.de - die SAP Basis und Security Experten

Besttigen Sie schlussendlich Ihre Eingaben und markieren Sie die zu aktivierenden Sprachen.
Drcken Sie den Button aktivieren, um die Konfiguration abzuschlieen.

214 / 279

rz10.de - die SAP Basis und Security Experten

Sie erhalten am Ende noch ein Ergebnisprotokoll mit dessen Hilfe Sie die durchgefhrten
Arbeitsschritte kontrollieren knnen.

215 / 279

rz10.de - die SAP Basis und Security Experten

Hat Ihnen der Beitrag geholfen bzw. haben Sie hnliche Erfahrungen bei der Konfiguration von
Sprachpaketen gemacht? Dann zgern Sie nicht und schreiben Sie mir Ihre Erfahrungen in einem
Kommentar.

Verwandte Beitrge
Pseudo Sprachinstallation im SAP BW
Download von SAP Sprachpaketen
Anmeldesprache fr SAP Dialogbenutzer festlegen
Verhalten von Berechtigungen nach SAP Upgrades
Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen
SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager

216 / 279

rz10.de - die SAP Basis und Security Experten

217 / 279

rz10.de - die SAP Basis und Security Experten

SSL Webservices im SAP nutzen


von Tobias Harmes - Beitrag vom 3. Februar 2011

Fr die Anbindung von produktiven Webservices ist eine verschlsselte Verbindung aus
naheliegenden Grnden natrlich bevorzugt. Allerdings muss man fr eine SSL-Verbindung einige
Vorarbeiten leisten, die man auf Client-Seite (z.B. mit einem Internet Explorer) in der Regel nicht hat.
Z.B. mchte ein SAP-System im Trust-Manager genau die Stammzertifikate mitgeteilt bekommen,
denen es Vertrauen darf. Hat man das nicht getan, tauchen in den Programmen Fehler wie
ICM_HTTP_INTERNAL_ERROR und im ICM-Log (Transaktion smicm->Springen->Trace Datei)
folgende Fehlermeldungen auf:
[Thr 4832] *** ERROR during SecudeSSL_SessionStart() from SSL_connect()==SSL_ERROR_SSL
[Thr 4832] session uses PSE file xxxSAPSSLC.pse
[Thr 4832] SecudeSSL_SessionStart: SSL_connect() failed
secude_error 9 (0x00000009) = the verification of the servers certificate chain failed
[Thr 4832] >> Begin of Secude-SSL Errorstack >>
[Thr 4832] ERROR in ssl3_get_server_certificate: (9/0x0009) the verification of the servers certificate chain failed #
ERROR in af_verify_Certificates: (24/0x0018) Chain of certificates is incomplete : OU=Class 3 Public Primary Certification Auth
ERROR in get_path: (24/0x0018) Cant get path because the chain of certificates is incomplete #
[Thr 4832] << End of Secude-SSL Errorstack
[Thr 4832] SSL_get_state() returned 0x00002131 SSLv3 read server certificate B
[Thr 4832] SSL NI-sock: local=x.x.x.x:12345 peer=y.y.y.y:443
[Thr 4832] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000248AAF0)==SSSLERR_SSL_CONNECT
[Thr 4832] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-57): SSSLERR_SSL_CONNECT

Dieser Fehler wird auch in SAP Hinweis 1094342 beschrieben.


Fr den Import der Stammzertifikate bentigt man diese in Dateiform. Dies geht relativ einfach mit
dem Internet Explorer. Wichtig: Den IE als Administrator ausfhren, ansonsten ist ein
Zertifikatsexport in eine Datei nicht mglich.

Auf der Zielseite einen Doppelklick auf das Zertifikatssymbol.

218 / 279

rz10.de - die SAP Basis und Security Experten

Der Zertifikatspfad zeigt die notwendigen Stammzertifikate, die importiert werden mssen.

Fr jeden Eintrag der Zertifikatskette muss man einmal In Datei kopieren auswhlen.

219 / 279

rz10.de - die SAP Basis und Security Experten

Dort vorzugsweise ein binr-codiertes Zertifikat verwenden. Das Base-64-Format, dass im Hinweis
erwhnt wird, hat nicht funktioniert.
Der Importvorgang im SAP muss dann ber die Transaktion STRUST in einer Client-PSE erfolgen. Je
nach dem wie man den Aufruf macht, mssen die Zertifikate in andere PSEs importiert werden. Die
genutzte PSE kann man z.B. in dem ICM-Log sehen. Die verwendete SAPSSLC.pse entspricht hier der
SSL-Client (Standard) im Trust-Manager.

Um das Zertifikat der Zertifikatsliste hinzuzufgen, auf Zertifikat importieren gehen.

220 / 279

rz10.de - die SAP Basis und Security Experten

Die Datei auswhlen und Binr auswhlen.

Danach das angezeigte Zertifikat in die Liste aufnehmen und sichern. Danach den ICM-Server
durchstarten (smicm).
Nun sollte der Zugriff funktionieren. Wichtig ist, dass die Domain in der URL mit dem Common Name
in dem Zertifikat bereinstimmt. Ansonsten gibt einen Fehler vergleichbar mit der IEZertifikatswarnung Der Hostname stimmt nicht berein, und die Verbindung schlgt fehl.
Im ICM-Log wrde das so aussehen:
[Thr 1560] MatchTargetName(t1234.example.com, CN=z99999.example.com, OU=Applications, O=example.com, Inc.,
L=Hannover
[Thr 1560] SSL NI-sock: local=x.x.x.x:53253 peer=y.y.y.y:443
[Thr 1560] <<- ERROR: SapSSLSessionStart(sssl_hdl=000000000252FE20)==SSSLERR_SERVER_CERT_MISMATCH
[Thr 1560] *** ERROR => IcmConnInitClientSSL: SapSSLSessionStart failed (-30): SSSLERR_SERVER_CERT_MISMATCH
{0003000b} [icxxconn

Tipp: In der SM59 eine HTTP-Verbindung zu ext. Server anlegen, damit kann man in der Regel
schneller testen, als jedes Mal den Webservice zu debuggen.

Verwandte Beitrge
ABAP-Webservices mit dem SOA-Manager anlegen
HowTo Konfiguration von Adobe Document Services (ADS - SAP)

221 / 279

rz10.de - die SAP Basis und Security Experten

222 / 279

rz10.de - die SAP Basis und Security Experten

SSO Troubleshooting Checklist


von Tobias Harmes - Beitrag vom 2. Februar 2012

Single Sign On ist ein beliebtes Thema aus der Kategorie kleines Problem lange Fehlersuche. Ich
habe mir dafr eine kleine Checkliste zusammengestellt. Die passenden Quell-Hinweise sind im
jeweiligen Check verlinkt. Ich freue mich ber jeden Kommentar z.B. wenn noch ein mglicher
Check fehlen sollte.

Check 1 Systemversion und Version von SAPSECULIB oder SAPCRYPTOLIB

Welche Systemversion wird eingesetzt bzw. unterscheiden sich Test- & Produktivsystem?
Report SSF02 mit Parameter Version ermitteln (z.B. ber SE38) ausfhren
Result: SSF_API_OK
Wenn nicht: STRUSTSSO2 im eigenen und ggf. im 000-Mandant prfen
Prfen ob die SAPSECULIB oder SAPCRYPTOLIB aktuell ist:
http://service.sap.com/download -> Download -> SAP Cryptographic Software.
Die Profilparameter mssen korrekt gesetzt sein:
ssf/ssfapi_lib = <Pfad zum Sicherheitsprodukt> (SAP Security Library)
ssf/name = SAPSECULIB
sec/libsapsecu = <Pfad zum Sicherheitsprodukt> (SAP Security Library)
Siehe dazu auch: Hinweis 701205 Single Sign-On ber SAP-Anmeldetickets

Check 2 Profilparameter

RZ11 temporr, RZ10 permanent


login/accept_sso2_ticket
login/create_sso2_ticket
icm/host_name_full

1
2 (ohne Zertifikat)
FQDN (z.B. hostname.example.com), Achtung
Reverse Proxies!

Check 3 Transaktion STRUSTSSO2

223 / 279

rz10.de - die SAP Basis und Security Experten


System-PSE prfen, muss grn sein

Check 4 Transaktion SSO2

Die Transaktion ist zwar schon veraltet, die Fehlermeldungen dort knnen aber sehr gut recherchiert
werden

Das Zertifikat muss ggf. in die Trust-Liste der Systeme (STRUSTSSO2), die das Logon-Ticket
akzeptieren (sofern das Ticket berhaupt signiert ist).
RFC-Destination: NONE

Check 5: Transaktion SICF

Bei Nutzung von SSO-Tickets fr eigene Webservices:


/default_host/sap/bc/srt/rfc/sap/WEBSERVICENAME
/default_host/sap/bc/bsp/sap/system_test (siehe nchsten Punkt)
Sind die aktiv?

224 / 279

rz10.de - die SAP Basis und Security Experten


Check 6 : Transaktion SE80, Testwebseite SSO

SYSTEM_TEST/test_sso2.htm > Testen (F8)


Wenn nicht verfgbar > SICF prfen (Check 5)

Die URL oben kopieren und danach alle Browser-Fenster schlieen. Danach neuen Browser
aufmachen und probieren.
Beispiel-URL:http://hostname.example.com:8000/sap(bD1kZSZjPTgwMA==)/bc/bsp/sap/system_test/
test_sso2.htm
Da sollte ein Cookie la: MYSAPSSO2= sein.
Alternativ auch
javascript:alert(document.cookie);
Siehe dazu auch: Hinweis 817529 berprfung der SSO-Konfiguration

Verwandte Beitrge
Single Sign On fr SAP GUI
Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario
Single Sign On mit KeePass
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible
Kontrolleurzuordnung kann nicht gelscht werden

225 / 279

rz10.de - die SAP Basis und Security Experten

226 / 279

rz10.de - die SAP Basis und Security Experten

SUM Fehler sapcontrol service certificate is not trusted


von Timo Eckhardt - Beitrag vom 16. September 2014

SUM Fehler sapcontrol service certificate is not trusted Beim Starten des Software Update
Managers wird seit der Version SP10 PL8 (SUM10SP10_8-20006543.SAR) darauf geachtet, dass eine
HTTPS Connection vorhanden ist. Das folgende Fehlerbild lsst sich im SUM nicht berspringen,
sodass zunchst der Ursache auf den Grund gegangen werden muss um mit dem Update fortfahren
zu knnen.

sapcontrol service certificate is not trusted for host

227 / 279

rz10.de - die SAP Basis und Security Experten


Mehr Informationen zu dem Fehler kann man dem Logfile entnehmen, welches in der Fehlermeldung
aufgefhrt
wird:
/usr/sap/SID/SUM/sdt/log/SUM/CONFIGURE-SAPCONTROL-CONNECTION-FORCI_01.LOG
Jun 27, 2014 7:31:58 PM[Info ]: SUM sdt directory is /usr/sap/SID/SUM/sdt/param.
Jun 27, 2014 7:31:58 PM[Info ]: /usr/sap/SID/SUM/sdt/param/jump_config.txt file contains key
/sapstartsrv/httpsconnection.
Jun 27, 2014 7:31:58 PM[Info ]: The https option /sapstartsrv/httpsconnection from file
/usr/sap/SID/SUM/sdt/param/jump_config.txt is set to true.
Jun 27, 2014 7:31:58 PM[Info ]: Port: 58314 is opened And could be used.
Jun 27, 2014 7:31:58 PM[Info ]: Port: 58313 is opened and could be used.
Jun 27, 2014 7:31:58 PM[Info ]: The system can be accessed via HTTPS.
Jun 27, 2014 7:31:58 PM[Info ]: Checking for certificate
Jun 27, 2014 7:31:58 PM[Info ]: Getting missing certificates for host SID and instance with
###
Jun
27,
2014
7:31:58
PM[Error
]:
javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException:
PKIX
path
building
failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification
path to requested target
Jun
27,
2014
7:31:58
PM[Error
]:
javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException:
PKIX
path
building
failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification
path to requested target
Jun 27, 2014 7:31:58 PM[Error ]: The following problem has occurred during step execution:
com.sap.sdt.util.diag.DiagException: The sapcontrol service certificate is not trusted for host
SID, instance ##. For more information, see section Verifying Certificates in the SUM guide.

Damit der Software Update Manager (SUM) auch ohne eingerichtetes HTTPS genutzt werden kann,
kann man die Konfigurationsdatei jump_config.txt anpassen. Zuvor ist es jedoch notwendig den SUM
vollstndig zu beenden.
cd /usr/sap/SID/SUM/sdt/param/
vi jump_config.txt
Folgenden Eintrag wie folgt von true auf false abndern:
### Sapcontrol web service configuration
/sapstartsrv/httpsconnection = false

Nun kann man den SUM erneut starten und mit dem eigentlichen Update fortfahren. Bitte beachten
Sie dabei, dass dieser Schritt knftig bei jedem Update mit dem SUM durchgefhrt werden muss.
Welche Erfahrungen haben Sie mit dem SUM gemacht? Ich freue mich auf Ihre Kommentare.

Verwandte Beitrge
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host
SAP Basis und SAP Security Berater von RZ10 buchen
SUM - validation of deployment queue completed with error

228 / 279

rz10.de - die SAP Basis und Security Experten

229 / 279

rz10.de - die SAP Basis und Security Experten

SUM Update mit der Fehlermeldung Invalid SAPServiceSID


user credentials for host
von Silvia Scholer - Beitrag vom 6. Dezember 2013

Bei dem Update eines Solution Manager 7.1 mit dem Software Update Manager (SUM) 1.0 SP09 tritt
folgender Fehler auf:
Invalid SAPServiceSID user credentials for host <hostname>

230 / 279

rz10.de - die SAP Basis und Security Experten


Die berprfung des Passwortes kann bei Windows wie folgt an einer beliebigen lokalen Freigabe
durchgefhrt werden:
d:\>net use \\%COMPUTERNAME%\sapmnt correctPassword /USER:SAPserviceSID
The command completed successfully.

d:\>net use \\%COMPUTERNAME%\sapmnt wrongPassword /USER:SAPserviceSID


System error 86 has occurred.

Da die berprfung des Passwortes zeigt, dass das Passwort korrekt ist und dieser Fehler erst beim
Java Update auftritt und somit das ABAP Update erfolgreich durchgefhrt wurde, ist davon
auszugehen, dass das Passwort nicht die Ursache fr den Fehler darstellt.

231 / 279

rz10.de - die SAP Basis und Security Experten

Das Problem liegt hier im falschen User. Die Standardeinstellung des User Names ist .\SAPServiceSID
und wird bersetzt als <COMPUTERNAME>\SAPServiceSID. Da der User aber kein lokaler Benutzer
auf dem Server ist sondern ein Domnen-Benutzer, muss der User Name <DOMAIN>\SAPServiceSID
lauten.
Beim ABAP Update findet die richtige bersetzung automatisch statt, deshalb gab es an dieser Stelle
keine Fehlermeldung.
Ich freue mich auf Ihr Feedback

Verwandte Beitrge
SAP Solution Manager Key generieren
SAP Systeme deinstallieren mit dem SAP Software Provisioning Manager
JSPM Start: Error while detecting start profile
Security Optimization Self Services mit dem SAP Solution Manager 7.1
SUM Fehler sapcontrol service certificate is not trusted
SAP Solution Manager 7.1 sapinst - SPM anstelle Installation Master

232 / 279

rz10.de - die SAP Basis und Security Experten


SUM - validation of deployment queue completed with error
SAP Kernel Update durchfhren

233 / 279

rz10.de - die SAP Basis und Security Experten

SUM - validation of deployment queue completed with error


von Timo Eckhardt - Beitrag vom 6. Mrz 2014

Beim Patchen des Java Stacks eines SAP Systems bricht der Software Update Manager (SUM) im
Schritt Configuration 5.3 mit folgendem Fehlerbild ab:
Validation of deployment queue completed with error: [ERROR Code DPL.DCAPI.1055]
ValidationException. Reason: SDU loading excpetion occurde while validating archives.
sap.com/WD-ADOBE: Validation of Archive /usr/sap/trans/EPS/WDADOBE10_0-10******.SCA
for component null/null finished with warning. See Deploy Controller log
/usr/sap//SUM/sdt/log/SUM/deploy_api.0.log for details

234 / 279

rz10.de - die SAP Basis und Security Experten

Auch ein Repeat step from Point of failure bringt uns an dieser Stelle nicht weiter.
In diesem Fall deutet die Warnmeldung null/null finished with warning darauf hin, dass der
Software Update Manager (SUM) im angegebenen Verzeichnis /usr/sap/<SID>/SUM nicht gengend
freien Speicherplatz zur Verfgung hat. Bitte vergrern Sie das Laufwerk oder lschen berflssige

235 / 279

rz10.de - die SAP Basis und Security Experten


Dateien. Es sollte mindestens 3 mal so gro sein wie die zu installierenden Files.

Hilfreiche SAP Notes in diesem Zusammenhang:


1763605 Error: [ERROR CODE DPL.DCAPI.1033] ValidationException Reason: null during SUMs
VALIDATE-QUEUE step
891895 JSPM: bentigter Plattenplatz

Was sind Ihre Erfahrungen mit dem Software Update Manager (SUM)? Haben Sie Fragen oder
Problemstellungen?

Verwandte Beitrge
JSPM Start: Error while detecting start profile
SUM Update mit der Fehlermeldung Invalid SAPServiceSID user credentials for host
SUM Fehler sapcontrol service certificate is not trusted

236 / 279

rz10.de - die SAP Basis und Security Experten

SYNCMARK blockiert Importqueue: wrong syntax in tp call


von Dominik Busse - Beitrag vom 16. Dezember 2013

Die Importqueue eines neuinstallierten SAP ERP Systems wird durch den Auftrag SYNCMARK ohne
Zielmandanten blockiert. Beim Versuch den Auftrag zu entfernen erscheint stets die Fehlermeldung:
wrong syntax in tp call.

Das Problem mit dem SYNCMARK:


Durch den Auftrag SYNCMARK ist das manuelle Hinzufgen weiterer Auftrge deaktiviert, sodass der
Importqueue keine weiteren Auftrge angehngt werden knnen. Somit blockiert der Auftrag die
Importqueue, da sich der Auftrag nicht entfernen lsst weder durch manuelles lschen, noch durch
das Hinzufgen eines Zielmandanten. Die Fehlermeldung lautet stets: wrong syntax in tp call.

237 / 279

rz10.de - die SAP Basis und Security Experten

Entfernen des SYNCMARK und lsen des Problems:


Zunchst schalten Sie sich Remote auf den Server des betroffenen SAP-Systems. Hier navigieren Sie
in folgendes Verzeichnis:
Unter Windows: <DRIVE>\usr\sap\trans\buffer\
Unter Linux/Unix: /usr/sap/trans/buffer/

In diesem Verzeichnis finden Sie die Bufferdateien Ihrer einzelnen SAP-Systeme. Hier ffnen Sie die
Bufferdatei des betroffenen Systeme, welche mit der SID des Systems benannt ist:
Unter Windows: write <SID>
Unter Linux/Unix: vi <SID>

238 / 279

rz10.de - die SAP Basis und Security Experten

In der ersten Zeile dieser Datei sehen Sie den Eintrag des SYNCMARK-Auftrags. Im Gegensatz zu den
anderen Eintrgen ist dieser jedoch nicht auskommentiert.
Kommentieren Sie den entsprechenden Eintrag durch das Einfgen eines #-Symbols aus und
speichern Sie.

Wechseln Sie anschlieend wieder in die Importqueue Ihres SAP-Systems und aktualisieren Sie diese.
Als Ergebnis sollte SYNCMARK aus der Importqueue verschwunden sein. Darberhinaus ist die Option
zum Anhngen weiterer Auftrge wieder aktiviert.

239 / 279

rz10.de - die SAP Basis und Security Experten

Die Importqueue sollte nun wieder vollstndig einsatzbereit sein.


Ich hoffe ich konnte Ihnen mit meinem Beitrag weiterhelfen und freue mich sehr auf Ihr Feedback
und Ihre Kommentare.

Verwandte Beitrge
TP Befehle zur Transportsteuerung
Dumps nach Abbruch der SPAM
SAP Systemkopie mit ChaRM und Urgent Corrections im Einsatz
Transportauftrag aus Importqueue lschen
Importeinplanung von Transportauftrgen via STMS
Ausplanen eines eingeplanten Importauftrags

240 / 279

rz10.de - die SAP Basis und Security Experten

Systemauslastung aufzeichnen und analysieren


von Dominik Busse - Beitrag vom 5. August 2014

Auf dem SAP-System grassiert ein regelmiger Fehler. Mit folgendem Report knnen Sie die
Systemauslastung automatisch aufzeichnen und den Fehler anschlieend komfortabel analysieren.

Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Mithilfe des Reports SDF/MON/ (Display Snapshot Monitoring) knnen Systemauslastung eines
Systems und belegte Workprozesse sowie weitere Systemwerte fr einen beliebigen Zeitraum
detailliert festgehalten werden. Wenn das Problem also regelmig auftritt und sich sogar auf einen
bestimmten Zeitraum eingrenzen lsst, knnen Sie mithilfe des SDF/MON/ komfortabel relevante
Informationen sammeln. Dieser erstellt automatisch und zu frei whlbaren Zeitpunkten Snapshots
von relevanten Systeminformationen.

Systemauslastung mit SDF/MON/ aufzeichnen


Den Report knnen Sie einerseits ber die SE38 ausfhren (entsprechende Berechtigungen
vorausgesetzt) oder aber durch Eingabe des Transaktionscode /n/SDF/MON/ (bei Eingabe ohne /n
wird die Transaktion nicht gefunden).
Hinweis: In manchen Systemen ist der Report nur in englischer Sprache verfgbar. Falls Sie den
Report also Ausfhren und keine Texte sehen, loggen Sie sich aus und geben Sie bei der Anmeldung
am SAP GUI als Anmeldesprache EN (englisch) an.

241 / 279

rz10.de - die SAP Basis und Security Experten

ber Schedule New Monitoring (Monitoring neu einplanen) knnen Sie eine neue Aufzeichnung der
Systemauslastung planen und anlegen.
Geben Sie zunchst eine Description (Beschreibung) ein, unter welcher Sie die Aufzeichnung spter
aufrufen knnen.
Anschlieend setzen Sie den Zeitraum der Aufzeichnung (Start time / End
den Verfallszeitpunkt der gespeicherten Auswertungsdatei (Do not delete before) fest.

time)

und

Weiterhin knnen Sie den Intervall der Aufzeichnung (Interval in seconds) festlegen. Hiermit knnen
Sie bestimmen, dass bspw. alle 10 Sekunden ein Snapshot der Systemauslastung in Ihrer
Aufzeichnungsdatei gespeichert wird. Darberhinaus knnen Sie die maximale Dateigre (Restrict
size) limitieren.
Nun knnen Sie noch festlegen, welche Informationen in dem Snapshot abgespeichert werden sollen.
So knnen Sie beispielsweise alle 10 Sekunden Informationen ber folgende Systemwerte sammeln:
Workprozesse (List of workprocesses)
Dispatcher Queue
Auslastung CPU und Paging des Betriebssystems (CPU and paging activity)
Prozesse mit hchsten CPU-Verbrauch (Top CPU processes)
Speicherauslastung (Ext. and heap mem.)
Anzahl der Benutzersitzungen (No. of logins/sessions)
Eintrge in In- und Outbound-Queue
Freie RFC-Workprozesse (Free RFC WPs)
Abschlieend knnen Sie noch den/die Server angeben, auf welchem/welchen Sie Systemauslastung
aufzeichnen wollen.

242 / 279

rz10.de - die SAP Basis und Security Experten

Nachdem Sie die Einstellungen nach Ihren Anforderungen gepflegt haben, knnen Sie auf Ausfhren
klicken. Je nach angegeben Zeitpunkt, wird die Aufzeichnung entweder direkt gestartet oder es
erscheint eine Meldung ber die erfolgreiche Einplanung Ihrer Monitoring-Aufzeichnung:

243 / 279

rz10.de - die SAP Basis und Security Experten

Aufzeichnung der Systemauslastung analysieren


Wenn Ihre Aufzeichnung erfolgreich durchgefhrt wurde, knnen Sie diese beim nchsten Aufruf der
Transaktion /n/SDF/MON in der Einstiegsmaske auswhlen:

Es erscheint eine erste bersicht zu Ihrer Aufzeichnung der Systemauslastung:

Mit einem Doppelklick oder Klick auf das Brillen-Icon ffnen Sie die Details zu Ihrer Aufzeichnung. In
den Details sehen Sie eine chronologische Auflistung von allen Aufzeichnungszeitpunkten innerhalb
des definierten Zeitfensters. Auch in dieser bersicht knnen Sie bereits relevante Werte zu der
Systemauslastung sehen:

244 / 279

rz10.de - die SAP Basis und Security Experten

Zu
jedem
Aufzeichnungszeitpunkt
knnen
Sie
weitere
Detailinformationen
abrufen.
Hierfr markieren Sie einen Zeitpunkt und whlen ber den Reiter Goto oder die Iconleiste weitere
Analysen aus. Je nachdem was Sie aufgezeichnet haben, knnen Sie sich die Liste der Workprozesse,
den Speicherverbrauch oder die Prozesse mit der hchsten CPU-Auslastung anzeigen lassen. Mit WP
List Aggregation knnen Sie die Auflistung der Workprozesse sogar nach auswhlbaren Kriterien
aggregieren.

245 / 279

rz10.de - die SAP Basis und Security Experten

Wenn Sie sich bspw. die Prozesse mit der hchsten CPU-Auslastung anzeigen lassen, knnen Sie die
Systemauslastung rckwirkend sehr detailliert analysieren:

246 / 279

rz10.de - die SAP Basis und Security Experten

Insgesamt handelt es sich bei der Transaktion /n/SDF/MON/ bzw. dem Report SDF/MON/ um ein sehr
mchtiges Werkzeug zur Aufzeichnung und Analyse der Systemauslastung.
Konnten Sie bereits Erfahrungen mit dem Aufzeichnen der Systemauslastung sammeln? Vielleicht
konnten Sie hierdurch sogar endlich eine langwierige Fehlersuche abschlieen? Ich freue mich auf
Ihre Kommentare!

Verwandte Beitrge
Wichtige Transaktionen fr Performance Untersuchungen
Betriebssyteminformationen aus dem SAP heraus analysieren
Traces sammeln und anzeigen fr SAP AS Java 6.40 bis 7.11
Performanceoptimierung der SAP BW Landschaft
SAP Basis und SAP Security Berater von RZ10 buchen
Trace erstellen mit der Transaktion ST12

247 / 279

rz10.de - die SAP Basis und Security Experten

248 / 279

rz10.de - die SAP Basis und Security Experten

Tabelle WRH$_SQL_BIND_METADATA wchst schnell


von Timm Funke - Beitrag vom 16. Juni 2012

Die Tabelle WRH$_SQL_BIND_METADATA wchst schnell und fllt so den Tablespace SYSAUX.

Den Tablespace SYSAUX gibt es seit dem Oracle Release 10g und dient als Speicherort fr Oracle
Systemkomponenten, wie z.B. den AWR Report.
Allerdings kann man sich auch sehr einfach anzeigen lassen, welche Komponenten den meisten Platz
belegen:
select OCCUPANT_NAME, SCHEMA_NAME, SPACE_USAGE_KBYTES
from v$SYSAUX_OCCUPANTS
order by space_usage_kbytes;
Im aktuellen Fall war der AWR Report der Spitzenreiter.
Den gesamten Platzbedarf des Reports kann man mit dem folgenden SQL Kommando herausfinden:
select SPACE_USAGE_KBYTES/1024 AWR Size [MBytes]
from V$SYSAUX_OCCUPANTS
where occupant_name = SM/AWR';
Anschlieend kann man noch berprfen, wie viel Platz in dem Tablespace aktuell noch frei ist:
select sum(bytes)/(1024 * 1024) SYSAUX MBytes free
from dba_free_space
where tablespace_name = SYSAUX';
Dann kann es unter Umstnden sinnvoll sein, die Speicherdauer der AWR Statistiken zu verkrzen:
BEGIN
DBMS_WORKLOAD_REPOSITORY.modify_baseline_window_size(
window_size =>1 );
END;
/
SELECT moving_window_size

249 / 279

rz10.de - die SAP Basis und Security Experten


FROM dba_hist_baseline
WHERE baseline_type = MOVING_WINDOW';
BEGIN
DBMS_WORKLOAD_REPOSITORY.modify_snapshot_settings(
retention => 10080); Minutes (= 7 Days).
END;
/
SELECT retention FROM dba_hist_wr_control;
Hier in diesem Beispiel auf 7 Tage.

Verwandte Beitrge
Tablespace-Erweiterung einer Oracle SAP Datenbank mit BRTOOLS
Risiko durch fehlende Berechtigungsgruppen von Programmen und Tabellen im SAP
minimieren

250 / 279

rz10.de - die SAP Basis und Security Experten

Tablespace-Erweiterung einer Oracle SAP Datenbank mit


BRTOOLS
von Tobias Harmes - Beitrag vom 12. Februar 2014

Egal, ob Sie Ihre Tablespaces manuell, mit BRTOOLS bzw. der Transaktion DB02 aus der SAP GUI
heraus, oder mit dem Solution Manager berwachen, irgendwann kann es passieren, dass der
Fllstand des Tablespaces Ihren gesetzten Schwellwert berschreitet und Sie gezwungen sind den
Tablespace zu erweitern.
In diesem Beitrag zeige ich Ihnen, wie Sie mit dem Programm BRTOOLS von Oracle einen Tablespace
erweitern knnen.
Dazu rufen Sie zuerst als DB Administrator-User das Kommando brtools auf. Es ffnet sich das
Hauptprogramm BRTOOLS mit dem Hauptmen (s. Abbildung 1). Die Navigation erfolgt ber
Zeichenkommandos. Unter dem Punkt 2 Space management befinden sich die Optionen fr die
Verwaltung der Tablespaces. Um dahin zu navigieren, geben Sie die 2 ein und besttigen mit Enter.

Abbildung 1: BRTOOLS Hauptmen


Im Space management Men finden Sie u.a. den Punkt 1 Extend tablespace. ber diese Option
navigieren Sie zur Erstellung einer neuen data-Datei. Alternativ knnen Sie hier auch ber den Punkt
5 Alter data file bestehende data-Dateien bearbeiten, dazu am Ende mehr. Geben Sie hier die 1 ein
und besttigen Sie mit Enter um mit der Erweiterung fortzufahren (s. Abbildung 2).

251 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: Space management Men


Das nchste Zwischenmen zeigt einige Optionen fr die Wahl des Tablespaces. Hier knnen Sie
beispielsweise ber die Option 3 Tablespace name bereits das gewnschte Tablespace angeben (s.
Abbildung 3). Die Angabe an dieser Stelle ist allerdings optional, da ohne Angabe im bernchsten
Schritt alle Tablespaces aufgelistet werden und Sie die Mglichkeit bekommen den gewnschten
Tablespace auszuwhlen. Zur Weiternavigation geben Sie c ein und besttigen mit Enter.

252 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: Parameter fr die Erweiterung


An dieser Stelle wird Ihnen nochmal die Mglichkeit geboten sich die Tablespaces oder data-Dateien
anzuschauen. Um mit der Erweiterung fortzufahren geben Sie hier die 1 ein und besttigen mit Enter
(s. Abbildung 4).
Bemerkung: Sie knnen jederzeit auch einen Schritt zurckgehen, indem Sie b (fr back) eingeben
und mit Enter besttigen. Den kompletten Vorgang abbrechen knnen Sie mit dem Kommando s (fr
stop).

Abbildung 4: Zwischenschritt vor der Erweiterung


Jetzt kommen Sie zu dem Punkt, an dem Sie, falls Sie weiter oben keinen Tablespace eingegeben
haben, das gewnschte Tablespace whlen knnen, welches Sie erweitern wollen. Hier bekommen
Sie auch einige Details z.B. zum Fllstand und der Gre der Tablespaces angezeigt (s. Abbildung 5).
Whlen Sie hier Ihren Tablespace, indem Sie die Zahl vor dem Tablespace eingeben und mit Enter
besttigen.

253 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 5: Auswahl der Tablespaces


Jetzt knnen Sie die Parameter fr die neue data-Datei festlegen. BRTOOLS bernimmt einige
Parameter aus der letzten erstellten Datei. Der fortlaufende Name wird automatisch bei der Option 3
vorgeschlagen, die vorgeschlagene Dateigre bei der Option 5 ist die der letzten Datei. Die Gre
knnen Sie ndern, indem Sie die 5 eingeben, mit Enter besttigen und anschlieend die neue Gre
eingeben.
Die Option 6 bestimmt, ob Autoextend an oder aus ist. Autoextend sorgt dafr, dass data-Dateien
automatisch vergrert werden, falls Platz gebraucht wird und noch Platz zum Vergrern da ist.
Wenn Sie Autoextend nutzen wollen, dann sind auch die Parameter 7 und 8 obligatorisch. Diese
legen die maximale Dateigre fest und auch die Schritte in MB in denen die Datei vergrert wird
(s. Abbildung 6).
Wenn Sie alle Parameter eingegeben haben, geben Sie c ein und besttigen mit Enter um die Datei
so zu erstellen.

254 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 6: Parameter der data-Datei


Bevor die Datei endgltig erstellt wird, knnen Sie in diesem Zwischenschritt entscheiden, ob Sie
direkt eine weitere Datei erstellen wollen oder nicht. Falls nein, dann fahren Sie mit c oder n fort (s.
Abbildung 7). Falls ja, dann geben Sie y ein und Sie kommen wieder zur oberen Ansicht mit den
Dateiparametern, diesmal allerdings fr die zweite Datei.

Abbildung 7: Abfrage weitere Datei erstellen


Wenn keine Probleme aufgetreten sind (z.B. kein Platz mehr auf der Festplatte), dann sehen Sie jetzt
die Erfolgsmeldung mit den Details (s. Abbildung 8). Diese Meldung knnen Sie besttigen indem Sie
c eingeben.

255 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 8: Erfolgsmeldung
Jetzt kommen Sie wieder zu dem Men aus Abbildung 4. Um das Programm zu verlassen, geben Sie
hier c ein und besttigen mit Enter. Nun sehen Sie wieder das Men aus Abbildung 2, hier kommen
Sie mit b zurck zum Hauptmen. In diesem knnen Sie das Programm mit der letzten Option 9
Exit program endgltig verlassen, wenn Sie das auch bei einer weiteren Zwischenabfrage mit c
besttigen mssen.
Um noch einmal auf die Option 5 aus Abbildung 2 zurckzukommen: hier knnen Sie einzelne dataDateien bearbeiten. Die Parameter, die Sie in Abbildung 6 fr die data-Datei festgelegt haben,
knnen Sie in diesem Untermen anpassen und so z.B. auch manuell die Dateigre anpassen.
Wenn Sie z.B. kein Autoextend nutzen und nicht immer die maximale Gre vergeben, knnen Sie
ber diese Option mehr Platz auf dem Tablespace schaffen, ohne neue data-Dateien anlegen zu
mssen.
Jetzt knnen Sie im BRTOOLS Men navigieren und mit diesem die Tablespaces erweitern.
Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
Oracle-/DB Administration und Performance Transaktionen
Tabelle WRH$_SQL_BIND_METADATA wchst schnell
brbackup Fehler: ORA-01149 cannot shutdown file 1 has online backup set

256 / 279

rz10.de - die SAP Basis und Security Experten

TP Befehle zur Transportsteuerung


von Timm Funke - Beitrag vom 31. Januar 2011

Unter Umstnden ist es doch mal notwendig, Transporte mit dem tp Befehl direkt ber das
Betriebssystem zu importieren. Im folgenden die wichtigsten Befehle

tp command
showbuffer SID
addtobuffer tranport

description
Shows the buffer of system SID
Adds transport to the buffer of system SID

SID

delfrombuffer tranport

Deletes transport from the buffer of the SAP system SID

SID

cleanbuffer SID

Removes old entries from SIDs buffer

setstopmark SID

Fgt eine Markierung in den Buffer von System SID ein,


bei der ein import oder put aufhrt. Wenn keine
derartige Marke vorhanden ist, dann fgen die Befehle
import all und put temporr eine solche ein (und
lschen diese nach erfolgreichem Import).
Entfernen der Stop-Marke aus dem Buffer
Add
the
transport transport to buffer
of system SID
Import all or a single
transport into SID. You may
add special unconditional
modes.
displays a list of the
objects in transport. The
source system must be
defined as a dummy
system in the TPPARAM file.
Lock users others than
SAP* and DDIC out of the
system, they get the
message
`put
still
running. Be aware, that
even logged in users may
not start new jobs, but can
still work.
Unlock the system SID
Lock the development
environment
of
system SID , so no abap or

delstopmark SID
addtobuffer transport
SID

import all/transport
SID

getobjlist transport

locksys SID

unlocksys SID
lock_eu SID

257 / 279

rz10.de - die SAP Basis und Security Experten

dictionary
development
can take place.
Unlock the development
environment
of
system SID (back to the
state before lock_eu)
Displays
informations
about the database

unlock_eu SID

getdbinfo SID

U Modes fr tp

u-mode
0

1
3
6
8
9

Description
do not remove the transport from the
buffer and set unconditional mode 1, so
the transport gets imported at the right
time again.
ignore that the transport as already been
imported
overwrite originals
overwrite objects in uncommited(?)
repairs
ignore restrictions from the table class
ignore that the system is locked for this
kind of transport (how can that
happen?)

Beispiel:
tp addtobuffer <Transportauftrag> SID
tp import <Transportauftrag> SID client=111 u1389

Verwandte Beitrge
SYNCMARK blockiert Importqueue: wrong syntax in tp call
Importeinplanung von Transportauftrgen via STMS
Ausplanen eines eingeplanten Importauftrags
SAP Transport Status zurcknehmen
Transporteur zu SAP Transport ermitteln
Betriebssystembefehle via Transaktion ausfhren
SAP IDM Transport und Release Planung - SAP Identity Management HowTo

258 / 279

rz10.de - die SAP Basis und Security Experten

259 / 279

rz10.de - die SAP Basis und Security Experten

Trace erstellen mit der Transaktion ST12


von Silvia Scholer - Beitrag vom 4. Juli 2014

Mit der Transaktion ST12 knnen SQL-Statements, ABAP-Code, RFC und Ablufe von
Programmen/Jobs aufgezeichnet werden. Der Trace zeigt wie der Zeitbedarf von unterschiedlichen
Programmen bis zum individuellen ABAP-Code oder SQL-Statement ist. Diese Information bietet die
Mglichkeit um Performanceverbesserungen vorzunehmen. Im Nachfolgenden werden die generellen
Schritte zum Ausfhren der Transaktion ST12 gezeigt.
Wir bernehmen Basisaufgaben und fhren SAP Basis Projekte fr Sie durch.
Ob Sie ein Systemupgrade durchfhren wollen oder einfach nur Untersttzung bei der
Konfiguration Ihrer SAP Systemlandschaft bentigen, wir bieten Ihnen unsere kompetenten
Berater an: SAP Basis und SAP Security Berater von RZ10 buchen
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon
0211.9462 8572-25 oder per EMail info@rz10.de
In
einem
unverbindlichen
Gesprch kann ich mit Ihnen
ber
Ihre
Ausgangslage
sprechen
und
Ihnen
Mglichkeiten
aufzeigen.
Selbstverstndlich knnen wir
danach
auch
ein
unverbindliches
Angebot
unterbreiten.
Fachbereichsleiter
Tobias
Harmes

Aufrufen der Transaktion ST12. Danach muss festgelegt werden, was aufgezeichnet werden soll:
User/Tasks: Wenn Aktivitten eines einzelnen Users aufgezeichnet werden sollen.
Workprocess: Wenn ein laufender SAP work process aufgezeichnet werden soll.
Current mode: Wenn die eigenen Aktivitten aufgezeichnet werden sollen.
Schedule: Wenn Aktivitten in der Zukunft aufgezeichnet werden sollen und keine Person verfgbar
ist, die dies bernehmen kann.
Im Beispiel wird ein User/Task Trace durchgefhrt. Dazu im Feld Username den User eingeben, fr
den der Trace erstellt werden soll. Ist der User bereit, kann der Button Start trace geklickt werden.

260 / 279

rz10.de - die SAP Basis und Security Experten

Folgende Meldung kann ignoriert werden

261 / 279

rz10.de - die SAP Basis und Security Experten

Anschlieend kann vom Anwender die Transaktion ausgefhrt werden, fr die der Trace durchgefhrt
wird. Ist dies beendet, kann der Button end traces & collect geklickt werden. Somit wird die
Aufzeichnung beendet.

Es wird eine bersicht ber die gerade erstellten Traces gezeigt. Den oder die gewnschten
auswhlen und besttigen.

262 / 279

rz10.de - die SAP Basis und Security Experten

Anschlieend muss der Trace ausgewhlt werden, der berprft werden soll. Nach dem Auffrischen
und Erscheinen des grnen Hakens kann unter collected trace analyses der Tracelog ausgewhlt
werden.

Es erscheint eine Liste mit den ganzen Tracelogs.

263 / 279

rz10.de - die SAP Basis und Security Experten

Den gewnschten auswhlen und bestimmen, was fr ein Trace evaluiert werden soll:
ABAP trace: zeigt den Zeitbedarf bei den unterschiedlichen Programmebenen.
Performance traces: liefert denselben Trace wie die Transaktion ST05.
SQL summary: liefert denselben Trace wie die Transaktion ST05, allerdings mit mehr Informationen
wie Server, Redundanzen etc.
Anschlieend ist eine Analyse mglich.
Was sind Ihre Erfahrungen mit dem Erstellen von Traces? Ich freue mich auf Ihre Kommentare.

Verwandte Beitrge
Traces sammeln und anzeigen fr SAP AS Java 6.40 bis 7.11
Rollen aus einem SAP Berechtigungstrace erstellen
Systemauslastung aufzeichnen und analysieren
SAP Basis und SAP Security Berater von RZ10 buchen

264 / 279

rz10.de - die SAP Basis und Security Experten

Traces sammeln und anzeigen fr SAP AS Java 6.40 bis 7.11


von Tobias Harmes - Beitrag vom 27. Juli 2012

Von einem Kollegen habe ich einen Tipp auf den Hinweis 1045019 bekommen. Dort wird ein WebDiagnose-Tool zum Sammeln von Trace-Dateien angeboten. Nicht immer hat man einen Solution
Manager Diagnostics mit Trace Analysis im Zugriff. Da das manuelle Tracen im AS Java Umfeld nicht
wirklich Spa macht (und teilweise mangels Zugriff auch nicht gestattet ist), habe ich mir das Tool
mal auf einem Solution Manager 7.1 angesehen. Eines vorweg: man bentigt einen Flash-fhigen
Browser.
Vor der Nutzung muss man das .sda-File aus dem Hinweis installieren. Bis 7.02 kann man das ber
den SDM deployen, fr 7.10 und 7.11 geht man ber die telnet shell. Fr die Nutzung des Trace
Collectors ist im Hinweis sogar ein Mini-Flash-Tutorial angehngt.
Nach dem Deploy geht man auf http://<Host>:<Port>/diagtool/tc
Nun kann man fr ausgewhlte Server Nodes die gewnschten Trace-Ablageorte auswhlen, die
gesammelt werden sollen. Danach gengt ein Klick auf den Start-Button und die Sammlung wird
gestartet.

Hier habe ich whrend des Traces einen Login mit fehlerhaften Zugangsdaten durchgefhrt.
Nachdem man die Sammlung beendet hat, wird das Endergebnis und die Anzahl der ermittelten
Fehler angezeigt. Mit einem Klick auf die Fehlerspalte gelangt man zu den Details.

265 / 279

rz10.de - die SAP Basis und Security Experten

Und tatschlich erhlt man eine relativ gut lesbaren Trace der freundlicherweise auch gleich die
Fehler einfrbt.

Weitere Links: Hinweis 1045019 Web-Diagnose-Tool zum Sammeln von Trace-Dateien Hinweis
1332726 Troubleshooting Wizard

Verwandte Beitrge
Rollen aus einem SAP Berechtigungstrace erstellen
Trace erstellen mit der Transaktion ST12
Systemauslastung aufzeichnen und analysieren

266 / 279

rz10.de - die SAP Basis und Security Experten

267 / 279

rz10.de - die SAP Basis und Security Experten

Transportauftrag aus Importqueue lschen


von Silvia Scholer - Beitrag vom 20. Februar 2014

Soll ein Transport nicht importiert werden, so kann der Import durch Lschen aus der Importqueue
ber die Transaktion STMS verhindert werden. Notwendige Informationen hierbei sind der
Systemname und die Transportnummer.

Zum Lschen mssen Sie sich im System auf dem Mandanten 000, da die Importqueue
mandantenunabhngig ist, anmelden und die Transaktion STMS aufrufen. Durch klicken auf den
roten LKW wechseln Sie in die Importbersicht.

Von der Importbersicht aus gelangen Sie durch Doppelklick auf die SID in die Importqueue des
gewnschten Systems.

268 / 279

rz10.de - die SAP Basis und Security Experten

Im Beispiel wurde der 4. Eintrag gewhlt. Nach dem Doppelklick wird die Importqueue angezeigt.
Hier einmal Refresh (F5) whlen, damit alle Eintrge angezeigt werden. Anschlieend den zu
lschenden Transport einmal anklicken, sodass der Cursor in der Zeile des Transportes steht.

Durch klicken der Mlltonne

erscheint eine Nachfrage, ob der Transportauftrag gelscht werden

269 / 279

rz10.de - die SAP Basis und Security Experten


soll. Diese Nachfrage besttigen.
Sollen mehrere Transporte gelscht werden nun den nchsten Transport markieren, der gelscht
werden soll und wieder die Mlltonne klicken.

Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
SAP IDM Transport und Release Planung - SAP Identity Management HowTo
SAP Transport Status zurcknehmen
Transporteur zu SAP Transport ermitteln
Importeinplanung von Transportauftrgen via STMS
Ausplanen eines eingeplanten Importauftrags
Spool-Auftrge manuell lschen
SYNCMARK blockiert Importqueue: wrong syntax in tp call

270 / 279

rz10.de - die SAP Basis und Security Experten

Transporteur zu SAP Transport ermitteln


von Dominik Busse - Beitrag vom 10. November 2014

Sie wollen herausfinden, wer einen Transport in ein SAP System durchgefhrt hat. ber diesen
Umweg erfahren Sie den Transporteur zu einem SAP Transport.

Es gibt allerlei Transaktionen, ber die Sie schnell und einfach Informationen wie zum Beispiel Inhalt,
Inhaber oder Zielsystem eines Transportes erhalten. Immer wieder gibt es jedoch Situationen, in
denen diese einfach zu erreichenden Informationen nicht ausreichen. Wenn beispielsweise nach dem
Import eines Transportes unerwartete Fehler auftreten, kann es durchaus wichtig sein, wer den
Import durchgefhrt hat. ber die Transaktion STMS erhalten Sie Uhrzeit, Transportinhaber und
Status eines Transports den Transporteur zu einem SAP Transport erhalten Sie jedoch nur ber
Umwege. Denn der Inhaber eines Transportes muss nicht zwingend auch sein Transporteur sein.

Transporteur zu einem SAP Transport ermitteln


Die Grundlage zu dieser Information findet sich in der Funktionalitt eines SAP Systems an sich
alles ist in Tabellen enthalten und kann ber Umwege nachvollzogen werden. Um einen Transporteur
zu einem SAP Transport zu ermitteln, ist die Tabelle TPLOG interessant. Sie knnen entsprechende
Berechtigungen vorausgesetzt mit der Transaktion SE16 darauf zu greifen. Wer transportiert hat,
finden Sie heraus, indem Sie die Transportnummer umrahmt von * (*TRANSPORTNUMMER*) im Feld
CMDSTRING eintragen:

271 / 279

rz10.de - die SAP Basis und Security Experten

Als Ergebnis erhalten Sie die Zeilen der Tabelle TPLOG, die den entsprechenden Transport betreffen.
In der Spalte USERNAME sehen Sie den Usernamen. In der Spalte CMDSTRING steht einerseits die
Transportnummer andererseits der jeweilige Transportschritt, also bspw. der IMPORT. Der Username,
den Sie in der Zeile mit IMPORT und Transportnummer finden, ist der Transporteur zu dem
Transport:

Haben Sie bereits Situationen erlebt, in denen Sie gerne gewusst htten, wer einen bestimmten
Transport transportiert hat? Ich freue mich ber Ihre Erfahrungen aber auch Fragen in den
Kommentaren gleich unterhalb dieses Beitrags.

272 / 279

rz10.de - die SAP Basis und Security Experten

Verwandte Beitrge
TP Befehle zur Transportsteuerung
SAP Basis und SAP Security Berater von RZ10 buchen
Transportauftrag aus Importqueue lschen
Ausplanen eines eingeplanten Importauftrags
SAP Transport Status zurcknehmen
Importeinplanung von Transportauftrgen via STMS

273 / 279

rz10.de - die SAP Basis und Security Experten

berwachungspause im Solution Manager fr ein System


einplanen
von Tobias Harmes - Beitrag vom 7. Februar 2014

Wenn Sie die Verfgbarkeit Ihrer Systeme mit dem Solution Manager ber das CCMS berwachen, ist
es sinnvoll fr geplante Downtimes (Offline-Backup, EHP/SP Upgrade, Refresh etc.) eine
entsprechende berwachungspause zu pflegen. Damit wird verhindert, dass die Downtime bei der
CCMS Verfgbarkeitsprfung einen Alarm auslst.
Dazu rufen Sie zunchst die Transaktion RZ21 CCMS Customizing Monitorarchitektur auf. Die
Einstellungen zur Verfgbarkeitsberwachung finden Sie im Menbaum Techn. Infrastruktur
Verfgbarkeitsberwachung CCMSPING-Verfgbarkeitsberw. konfigur. (s. Abbildung 1)

Abbildung 1: RZ21 CCMSPING-Verfgbarkeitsberwachung konfigurieren


Jetzt bekommen Sie eine bersicht ber Ihre Systeme und auch, welche davon berwacht bzw. nicht
berwacht werden. Hier knnen Sie das System markieren, bei dem Sie eine berwachungspause
einplanen wollen. Wichtig ist hier, dass die komplette Zeile markiert sein muss und nicht nur eine der
Spalten. Hierzu auf das Ordnersymbol
klicken. Die Option berwachungspause anlegen finden
Sie bei dem Button

im Untermen (s. Abbildung 2).

274 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 2: berwachungspause anlegen


In dem sich nun ffnenden Dialog knnen Sie die berwachungspausen fr das System pflegen. Beim
Erstellen einer neuen Pause knnen Sie zwischen einer tglichen, wchentlichen und einmaligen
Pause whlen und mssen auch die entsprechenden Start- bzw. Endparameter fr die Pause
festlegen. Speichern knnen Sie die Pause mit dem entsprechenden
Button (s.
Abbildung 3). Im unteren Teil des Dialogs knnen Sie bereits eingeplante berwachungspausen
sehen und ggfs. ber das Papierkorb-Symbol
wieder lschen.

275 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 3: berwachungspausen pflegen


Je nach Versionsstand des Solution Managers, kann der Dialog auch etwas anders aufgebaut sein
und mehr Optionen beinhalten (s. Abbildung 4). Das Prinzip fr die Pflege der berwachungspausen
bleibt aber dasselbe.

276 / 279

rz10.de - die SAP Basis und Security Experten

Abbildung 4: Erweiterte Ansicht zur Pflege von berwachungspausen


Ich freue mich auf Ihr Feedback.

Verwandte Beitrge
TREX Monitoring mit Solution Manager Diagnostics
Verfgbarkeiten nachweisen mit dem SAP Solution Manager
Fehler bei Rollenaktualisierung der verwalteten Systeme im Solution Manager
CCMS-Alerts per E-Mail erhalten

277 / 279

rz10.de - die SAP Basis und Security Experten

278 / 279

rz10.de - die SAP Basis und Security Experten

279 / 279
Powered by TCPDF (www.tcpdf.org)