Softwarewartung SAP® Systeme
SPAM: Modifikationsabgleich durchführen
Auf wie viele Rechner soll die Datenbankebene verteilt werden? Auf diese Frage gibt es folgende Antworten: Die Datenbank Ihres SAP-Systems kann exklusiv auf einem Rechner betrieben werden. Sie können grundsätzlich mehrere Datenbanken auf einem Rechner betreiben. Sie können eine Datenbank zusammen mit SAP-Applikationsservern auf einem Rechner betreiben (SAP-Hinweis 1953429), insbesondere zusammen mit der zentralen SAP-Instanz. Die Datenbankebene kann auf mehrere Rechner verteilt werden. Dies stellen wir in diesem Abschnitt speziell für SAP HANA dar, aber auch andere Datenbankensysteme bieten diese Option an.
Für die Auswertung der Logdateien nutzen Sie bitte die Transaktion RSAU_READ_LOG. Falls Sie die Security Audit Log Dateien archivieren können Sie diese über die Transaktion RSAU_READ_ARC auslesen.
Queue einspielen
Einen CPU- oder Hauptspeicherengpass können Sie nach folgenden Kriterien diagnostizieren: Beobachten Sie eine hohe CPU-Auslastung oder hohe Paging-Raten im Stundenmittel? Als grobe Richtwerte geben wir an, dass die Gefahr eines Hardwareengpasses besteht, wenn die mittlere freie CPU-Kapazität (CPU idle) im Stundenmittel unter 20 % sinkt bzw. die Paging-Rate pro Stunde auf über 20 % des physischen Hauptspeichers ansteigt. Vergleichen Sie dazu auch Abschnitt 2.2.1, »Analyse eines Hardwareengpasses (CPU und Hauptspeicher)«. Prüfen Sie in einem zweiten Schritt, ob die hohe CPU-Auslastung bzw. die hohe Paging-Rate tatsächlich negativen Einfluss auf die Antwortzeit des SAP-Systems hat. Besteht der Verdacht eines Hardwareengpasses auf einem Applikationsserver, ist dies am sichersten anhand der Processing-Zeit festzustellen: Ist diese deutlich größer als die CPU-Zeit (als Richtwert Processing-Zeit > 2 × CPU-Zeit), ist dies ein Indiz dafür, dass die Workprozesse auf die CPU warten müssen. (Beachten Sie aber, dass eine erhöhte Processing- Zeit auch andere Ursachen haben kann, siehe auch Abschnitt 3.3, »Workload-Analyse«.) Zudem können erhöhte Lade-, Roll- und Dispatcher- Wartezeiten auftreten. Vermuten Sie, dass ein Hardwareengpass auf dem Datenbankserver auftritt, analysieren Sie die Datenbankzeit: Ist sie erhöht? Vergleichen Sie dazu z. B. die Datenbankzeiten im Tagesprofil zu Zeiten hoher und niedriger Last. Besteht der Verdacht auf einen Hauptspeicherengpass, vergleichen Sie, ob der virtuell allokierte Speicher deutlich größer als der physisch vorhandene Hauptspeicher ist. Sofern der virtuell allokierte Speicher kleiner ist als 1,5 × der physische Hauptspeicher, sollte ein Hauptspeicherengpass kein Thema sein (siehe auch Abschnitt 2.4.3, »Anzeige des allokierten Speichers«).
Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Basisadministration extrem nützlich.
Mehrfädige Prozessorkerne (Multi-Threaded-CPUs) verfügen über eine CPU, melden sich aber als mehrere CPUs am Betriebssystem an.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Können Sie sich erinnern, wann Sie zuletzt die Suchhilfe (F4) in SAP benutzt haben, wonach Sie suchten und vor allem wie der Such-String dafür aussah? Beim Berechtigungs-Admin sah das vielleicht so aus: *HCM*KEYUSER*1001 Irgendeine Rolle für einen neuen Key-User im HCM Bereich, aber wie genau hieß die noch gleich? Würden Sie genauso googlen? - eher nicht.