Change- und Release-Management
SAP Solution-Manager
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
Es wird gerne vergessen, wie wichtig dieses Element der Architektur ist. Der damit verbundene Aufbau erweist sich oftmals als besonders wichtig für Firmen, die zum ersten Mal eine Implementierung des SAP-Systems vornehmen möchten.
System Retirement
Benchmark-Untersuchungen verschiedener Hardwarehersteller zeigen, dass der Betrieb mehrerer SAP-Systeme auf einem Rechner unter Performancegesichtspunkten ohne Probleme möglich ist. In der Praxis muss allerdings die Frage nach dem Ressourcenmanagement beantwortet werden. Die möglichen Lösungen zu beschreiben, die Hardwarepartner in diesem Zusammenhang anbieten, würde den Rahmen dieser Einführung sprengen. Allerdings sollten Sie anhand der folgenden Checkliste die unterschiedlichen Lösungen evaluieren: Laufen die unterschiedlichen Anwendungen (SAP-Instanzen, Datenbankinstanzen etc.) in unterschiedlichen Betriebssysteminstanzen (Fenstern), d. h., sind sie virtuell entkoppelt? Können mit den Methoden des Betriebssystemherstellers die Ressourcen von CPU, Hauptspeicher und Disk-I/O verwaltet werden? Wird das Ressourcenmanagement über eine feste Zuordnung von CPU, Hauptspeicher und Disk-I/O oder über eine Priorisierung der Anfragen geregelt? Können die Ressourcen dynamisch (also ohne das Betriebssystem neu zu starten) neu verteilt werden, um sich den aktuellen Anforderungen anzupassen?
Zur Auswertung eines Performance-Trace klicken Sie im Eingangsbildschirm zum Trace auf die Schaltfläche Trace anzeigen. Es wird Ihnen eine Selektionsmaske angezeigt, in der Sie im Feld Trace-Typ auswählen, welchen Teil des Trace Sie analysieren wollen. In diesem und den folgenden Abschnitten besprechen wir die Auswertung der einzelnen Trace-Typen separat. In der Praxis können Sie natürlich alle Trace-Modi zusammen analysieren.
Einige fehlende SAP Basis Funktionen im Standard werden durch die PC-Anwendung "Shortcut for SAP Systems" nachgeliefert.
Um eine optimale Verfügbarkeit und Lastverteilung zu erreichen, sollten Sie die zweite Alternative wählen.
Der entsprechende Eintrag im SAP-SysLog (Transaktionscode SM21) darf daher nicht als Fehlermeldung verstanden werden, sondern nur als Information.