Gehalt
Planung
Ein Rollenkonzept nach Best Practice schützt Sie vor potenziellen Angriffen innerhalb Ihrer SAP-Landschaft. Um Ihr System jedoch vor unerlaubten Zugriffen über das Netzwerk zu schützen, ist eine korrekte Konfiguration des SAP Gateway erforderlich. Es ermöglicht die Nutzung externer Programme über Schnittstellen oder den Aufruf von ABAP-Programmen und dient als technische Komponente des Applikationsservers, welches die Kommunikation aller RFC-basierten Funktionen verwaltet.
Vor der geplanten Laststeigerung sollten Sie einen Service von SAP in Anspruch nehmen, der die aktuelle Hardwareauslastung ermittelt und die Folgen der geplanten Laststeigerung bewertet. SAP empfiehlt, bei geplanten Laststeigerungen von bis zu 30 % den SAP-EarlyWatch-Service und bei größeren Laststeigerungen den SAP GoingLive Check in Anspruch zu nehmen. Bei einem Wechsel des SAP-Releases bzw. der Datenbankplattform oder der Hardwareplattform bietet SAP ebenfalls spezielle SAP GoingLive Checks an. Während dieser Services wird die aktuelle Auslastung der Hardware gemessen und bewertet. Aufgrund der Angaben über den geplanten Projektschritt wird der zusätzliche Hardwarebedarf ermittelt. Bereits geplante Änderungen der Hardwarelandschaft werden in die Auswertung mit einbezogen. Der kostenfreie automatische Service SAP EarlyWatch Alert ermittelt ebenfalls die aktuelle Hardwareauslastung und stellt diese in einem übersichtlichen Bericht zusammen. Sofern bereits eine Produktivnutzung besteht, werden also immer die aktuellen Auslastungsdaten für das Sizing-Projekt herangezogen. Eine falsche Entscheidung wäre es, ein initiales Sizing für die neue Gesamtlast durchzuführen und die aktuellen Auslastungsdaten zu ignorieren.
SKILLS & ROLLEN
In einer SAP-Installation mit insgesamt fünf Rechnern steht z. B. ein Datenbankserver mit vier Prozessoren zur Verfügung. Auf dem Datenbankserver befindet sich neben der Datenbankinstanz die zentrale SAP-Instanz mit Enqueue- und Dialog-Workprozessen. Der Datenbankprofilparameter, der die Anzahl der für die Datenbankinstanz nutzbaren Prozessoren beschränkt, steht auf dem Wert 1. Damit kann die Datenbankinstanz nur einen Prozessor nutzen. Nehmen wir an, dass die zentrale SAP-Instanz im Mittel etwa einen Prozessor beansprucht. Damit werden Sie im Betriebssystemmonitor (Transaktionscode ST06) eine mittlere CPU-Auslastung von 50 % beobachten, d. h. feststellen, dass kein CPU-Engpass vorliegt. Dennoch werden Sie bei dieser Konfiguration hohe Datenbankzeiten beobachten, da ein Prozessor zur Bearbeitung der Datenbankanfragen in einem System mit fünf Rechnern in der Regel zu klein sein wird. Ist der Datenbankprofilparameter, der die Anzahl der für die Datenbankinstanz nutzbaren Prozessoren beschränkt, zu groß konfiguriert, kann dies ebenfalls die Performance beeinträchtigen.
Es ist möglich für jede Regel in der ACL-Datei ein Trace-Level anzugeben, um jeden Kommunikationskanal individuell zu überwachen. Sie lässt sich ohne weitere Konfiguration mit SNC verwenden. Die Verwendung der Datei wird über den Parameter gw/acl_file gesteuert, indem er einfach auf den entsprechenden Dateinamen gesetzt wird. Verwendung von externen Programmen Wenn ein externes Programm mit Ihrem SAP System kommunizieren will, muss es sich zunächst am Gateway registrieren. Welchen Programmen dies genehmigt wird, wird über die ACL-Datei reginfo gesteuert. Hier werden also Regeln definiert, die bestimmte Programme erlauben oder aber verbieten. Die Syntax der Datei lässt es dabei zu, nicht nur den Namen des Programms, sondern auch den Host auf dem das Programm läuft und Hosts die das Programm verwenden und beenden können zu definieren. Zur Verwendung dieser Datei muss der Parameter gw/reg_info gesetzt sein. Außerdem gibt es die ACL-Datei secinfo, mit der es möglich ist zu konfigurieren, welche User ein externes Programm starten können. Hier werden also Regeln definiert, die bestimmten Usernamen aus dem SAP System erlauben bestimmte externe Programme zu verwenden. Zusätzlich können auch hier die Hosts definiert werden auf denen diese Programme ausgeführt werden. So ist es zum Beispiel möglich einem User zu erlauben das Programm "BSP" auf dem Host "XYZ" auszuführen, aber nicht auf dem Host "ABC". Diese Datei wird über den Parameter gw/sec_info gesteuert. Verwendung des Gateways als Proxy Da das Gateway Ihres SAP Systems außerdem als Proxy-Server dienen kann, sollte zusätzlich die ACLDatei prxyinfo über den Parameter gw/prxy_info aktiviert werden. Nehmen wir an, sie haben 3 SAP Systeme in Ihrem Netzwerk: SRC, TRG und PRX. Wenn SRC nicht direkt mit TRG kommunizieren kann, aber beide mit PRX wäre es möglich das Gateway des Systems PRX als Proxy-Server zu verwenden, also darüber zu kommunizieren. Damit dies nicht jedem erlaubt ist, sollte diese Eigenschaft also dringend eingeschränkt werden. Wie schon bei den anderen ACL-Dateien werden hier Regeln definiert, welche Hosts über das Gateway mit welchen Hosts kommunizieren können. Die Syntax der verschiedenen ACL-Dateien kann je nach Release-Stand abweichen. Es ist deshalb ratsam sie vor der Aktivierung der ACL-Dateien in der entsprechenden SAP Dokumentation nachzulesen. Weitere Unterstützung bei der Verwendung von ACL-Dateien finden Sie auch im SAP Community Wiki.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Basisadministration extrem nützlich.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Verbesserte Performance verringert Laufzeit und Hardware-Auslastung.
Zusätzlich verändert sich die Produktstrategie, unter anderem auch die von SAP.