Shared Services

Remote Diagnostics Agent ausführen

Bevor Sie einen Bug für Oracle Hyperion Shared Services melden, führen Sie Remote Diagnostics Agent (RDA) aus. Hängen Sie die RDA-Ausgabe an den Bugbericht an. Die Ausgabedatei befindet sich im Verzeichnis /ohs/rda.

Um RDA auszuführen, geben Sie folgenden Befehl in ein Befehlsfenster ein:

/ohs/rda/rda.cmd

Weitere Informationen finden Sie in der readme-Datei zu RDA im Verzeichnis /ohs/rda.

Shared Services-Anmeldung

Problem: Die Shared Services-Anmeldung ist nicht erfolgreich.

Lösung: Starten Sie zur Fehlerbehebung für Benutzerverzeichnisse und Java-Webanwendungen von Shared Services die Anwendung Oracle Hyperion Enterprise Performance Management System Diagnostics, um sicherzustellen, dass die Java-Webanwendungen der Produkte gestartet sind. Anweisungen hierzu finden Sie in der Oracle Enterprise Performance Management System - Installations- und Konfigurationsdokumentation unter "Installation validieren und Deployment überprüfen".

Prüfen Sie auch die Datei SharedServices_Security.log. Wenn Sie sich bei Produkten nicht anmelden können, prüfen Sie die Datei SharedServices_SecurityClient.log. Informationen hierzu finden Sie unter EPM System-Logs verwenden.

Wenn die Anmeldung bei Microsoft Active Directory nicht erfolgreich ist, stellen Sie sicher, dass Shared Services für die Verwendung der DNS-Suche zum Auffinden von Active Directory konfiguriert ist. Anweisungen hierzu finden Sie in der Lösung im nächsten Abschnitt, "High Availability von Active Directory". Die häufigste Ursache einer nicht erfolgreichen Anmeldung bei Active Directory besteht darin, dass der für den Domaincontroller angegebene Host aus Wartungsgründen offline ist.

High Availability von Active Directory

Problem: Sie müssen High Availability von Microsoft Active Directory sicherstellen.

Lösung: Konfigurieren Sie Shared Services für die Verwendung der DNS-Suche zum Auffinden von Active Directory:

  • Geben Sie den Domainnamen an.

  • (Optional) Geben Sie Site und DNS-IP-Adresse an.

Achtung:

Oracle rät von der Auswahl der Hostnamensoption für die Konfiguration von Active Directory in Shared Services ab. Verwenden Sie die Hostnamensoption nur zu Testzwecken.

Wenn Shared Services für das Ausführen einer DNS-Suche konfiguriert ist, wird der DNS-Server aufgefordert, registrierte Domaincontroller zu identifizieren. Bei einem Ausfall wird zu einem verfügbaren Domaincontroller gewechselt. Weitere Informationen finden Sie in der Dokumentation Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Hinweis:

Oracle empfiehlt die Konfiguration von Shared Services für die Verwendung der DNS-Suche zum Auffinden von Active Directory unabhängig davon, ob High Availability erforderlich ist.

Produktregistrierung

Problem: Ein Oracle Enterprise Performance Management System-Produkt kann nicht bei Shared Services registriert werden, wenn das Produkt und Shared Services auf unterschiedlichen Computern installiert sind. Folgende Meldung wird in der Datei SharedServices_security.log geloggt:

com.hyperion.interop.lib.OperationFailedException: Authentifizierung nicht möglich

Lösung:

  • Stellen Sie sicher, dass das Administratorkennwort für Shared Services korrekt ist.

  • Abonnieren Sie eine Onlinezeitquelle, die eine Atomuhr verwendet, und stellen Sie sicher, dass beide Computer diese Zeitquelle verwenden und somit synchronisiert sind.

Sicherheitssperre nach nicht erfolgreichen Anmeldeversuchen

Problem: Aus Sicherheitsgründen sollen Benutzer nach mehrfachen nicht erfolgreichen Anmeldeversuchen bei Oracle Hyperion Enterprise Performance Management Workspace gesperrt werden.

Lösung: Definieren Sie in einem externen Verzeichnis (z.B. in Microsoft Active Directory oder einem LDAP-fähigen Benutzerverzeichnis wie Oracle Internet Directory) Kennwort-Policys mit einer Angabe der Anzahl maximal zulässiger Anmeldeversuche vor Aktivierung einer Benutzersperre. EPM System berücksichtigt alle von den Kennwort-Policys für das externe Benutzerverzeichnis kontrollierten Sperren. Da die EPM System-Sicherheitsfunktionen für Release 11.1.2 Kennwort-Policys für Native Directory nicht unterstützen, können Native Directory-Benutzer nicht nach einer bestimmten Anzahl nicht erfolgreicher Anmeldeversuche gesperrt werden.

Sternchen in Benutzernamen

Problem: Benutzer, deren Namen ein Sternchen (*) enthalten, haben nicht autorisierten Lesezugriff auf Informationen für ähnliche Benutzernamen.

Lösung: Verwenden Sie das Sternchen (*) weder in Benutzernamen noch in Common Names (CNs), da es als Platzhalterzeichen für Suchen in der Oracle Hyperion Shared Services-Registry verwendet wird. Informationen zu unterstützten Zeichen in Benutzernamen finden Sie in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

EPM System-Administratorbenutzername

Problem: Der EPM System-Administrator soll ein Benutzer aus dem Unternehmensverzeichnis anstelle von "admin" sein, sodass die Kennwort-Policys des Unternehmens für den Administrator gelten.

Lösung: Erteilen Sie in Shared Services den EPM-Administratorbenutzern die Rolle "Administrator".

Tipp:

Sie können den Zugriff auf den nativen Account "admin" verhindern, indem Sie dem Account ein langes, zufälliges Kennwort zuweisen. Der Account "admin" kann nicht gelöscht werden.

AuditHandler-Meldung

Problem: Die Datei SharedServices_Audit.log enthält folgende Zeile:

AuditHandler - Server Audit Enable Status:- false

Lösung: Sie können diese Meldung ignorieren. Sie weist lediglich darauf hin, dass Auditing auf dem Shared Services-Server nicht aktiviert ist.

Eine AuditHandler-Statusmeldung wird jedes Mal geloggt, wenn ein Auditclient den Server zur Statusabfrage pingt. Wenn Auditing aktiviert ist, fährt der Client mit dem Auditing von Ereignissen fort. Andernfalls ignoriert der Client das Auditing von Ereignissen.

Auditdatenlöschung und Oracle Database-Tablespace

Problem: Nach dem wiederholten Löschen von Auditdaten mit Shared Services wird der Tablespace in Oracle Database nicht freigegeben.

Hinweis:

In Oracle Database wird der Tablespace nicht automatisch freigegeben, wenn die Daten aus den Tabellen gelöscht werden.

Lösung: Führen Sie folgende Schritte aus:

  1. Stoppen Sie den Shared Services-Server, und führen Sie folgende Abfragen aus, um den von den Tabellen belegten Speicherplatz zu verringern:

    alter table SMA_AUDIT_ATTRIBUTE_FACT enable row movement 
alter table SMA_AUDIT_ATTRIBUTE_FACT shrink space 

alter table SMA_AUDIT_FACT enable row movement 
alter table SMA_AUDIT_FACT shrink space

  2. Starten Sie den Shared Services-Server neu.

Single Sign-On

Problem: Bei aktiviertem Oracle Single Sign-On (OSSO) Security Agent verläuft der Single Sign-On (SSO) nicht erfolgreich.

Dieses Problem tritt auf, wenn in den Shared Services-Sicherheitseinstellungen OSSO als SSO-Provider oder -Agent und "Remotebenutzer aus HTTP-Anforderung abrufen" als SSO-Mechanismus angegeben sind.

Lösung: Wählen Sie in der Oracle Hyperion Shared Services Console folgende Sicherheitseinstellungen aus:

  • SSO-Provider oder -Agent - Sonstige

  • SSO-Mechanismus - Benutzerdefinierter HTTP-Header

    Der Standardwert für den benutzerdefinierten HTTP-Header lautet HYPLOGIN. Sie können einen anderen Wert angeben.

Informationen hierzu finden Sie in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Inhalte und Aktualisierungen in der Shared Services-Registry

Achtung:

Gehen Sie beim Bearbeiten der Shared Services-Registry äußerst vorsichtig vor, da sie für die Ausführung von EPM System-Produkten zwingend erforderlich ist. Sichern Sie immer die Oracle Hyperion Foundation Services-Datenbank, bevor Sie Änderungen an der Shared Services-Registry vornehmen.

Das Registry-Editor-Utility epmsys_registry.bat (Windows) befindet sich im Verzeichnis EPM_ORACLE_INSTANCE/bin. Beim Ausführen dieses Utilitys wird ein Bericht zu den Inhalten der Shared Services-Registry erstellt. Informationen hierzu finden Sie im Abschnitt zum Aktualisieren der Shared Services-Registry in der Dokumentation Oracle Enterprise Performance Management System Deployment Options Guide

Problem: Sie können nicht auf die Shared Services Oracle Hyperion Enterprise Performance Management System Lifecycle Management-Benutzeroberfläche zugreifen und müssen den Inhalt der Shared Services-Registry anzeigen.

Lösung: Führen Sie das Registry-Editor-Utility ohne Parameter aus, um einen Bericht namens registry.html zu generieren.

Problem: Sie müssen Benutzerverzeichnisinformationen ändern, können aber nicht auf die Shared Services Lifecycle Management-Benutzeroberfläche zugreifen.

Lösung: Führen Sie das Registry-Editor-Utility aus, um einen Bericht mit Deployment-Informationen zu generieren, die Sie beim Bearbeiten der Shared Services-Registry unterstützen.

Benutzerverzeichnisse und Zugriffsberechtigungen

Weitere Informationen finden Sie in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Probleme und Best Practices im Zusammenhang mit Zugriffsberechtigungen

Wenn Sie ein vorhandenes LDAP-/MSAD-Benutzerverzeichnis verwenden, durchsuchen Sie in einem LDAP-Standardbrowser die Benutzerverzeichnisse mit den Benutzerzugangsdaten, bevor Sie Berechtigungen für EPM System-Anwendungen zuweisen. Der LDAP-Browser verwendet für die Verbindung zum Benutzerverzeichnis dieselben Einstellungen, die auch EPM System-Anwendungen für die Verbindung zu den Benutzerverzeichnissen verwenden. Sie können einen kostenlosen LDAP-Browser herunterladen.

Prüfen Sie mit dem Browser folgende Punkte:

  • Ob der verwendete Server eine Verbindung zum Benutzerverzeichnis herstellen kann

  • Antwortzeit

  • Ausgangspunkt (Basis-DN) für Suchvorgänge im Benutzerverzeichnis

  • Anzahl der Benutzer und Gruppen unter dem Ausgangspunkt

So sorgen Sie für eine akzeptable Anmeldeperformance:

  • Minimieren Sie die Anzahl der Gruppen und Benutzer für EPM System-Anwendungen.

  • Stellen Sie sicher, dass sich die Servercomputer, die EPM System-Anwendungen hosten, am selben geografischen Standort wie die Servercomputer befinden, die die zum Zuweisen der Berechtigungen verwendeten Benutzerverzeichnisse hosten.

  • Bestimmen Sie einen optimalen Ausgangspunkt für Suchen, oder erstellen Sie eine benutzerdefinierte Gruppenhierarchie.

  • Geben Sie für das erste Element in der Suchreihenfolge das Verzeichnis an, aus dem sich die meisten Benutzer anmelden.

Externe Benutzer, Gruppeninformationen und Performance

Informationen hierzu finden Sie in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Problem: Die Performance wird durch eine große Anzahl in Shared Services verfügbarer externer Benutzer oder Gruppen beeinträchtigt.

Lösungen:

  • Richten Sie einen Filter ein, um nur die erforderlichen Benutzer abzurufen.

  • Oracle empfiehlt, die Gruppen-URL einzurichten und den Gruppenfilter zu optimieren, um die Anzahl der Gruppen zu reduzieren, die Shared Services zum Erstellen des Cache parsen muss. Auf diese Weise kann die Laufzeitperformance erheblich verbessert werden.

Informationen hierzu finden Sie unter Beschleunigung von Benutzerabruf, Anwendungsregistrierung und Sicherheitsladevorgängen und Einstellung für maximale Größe von Benutzer-/Gruppensuchvorgängen.

Problem: Shared Services greift auf LDAP- und MSAD-Gruppeninformationen zu, obwohl LDAP- oder MSAD-Gruppen nicht verwendet werden.

Lösung: Erstellen Sie Gruppen in Native Directory, weisen Sie ihnen Benutzer aus LDAP- und MSAD-Verzeichnissen zu, und setzen Sie die Option "Gruppen verwenden" auf "Falsch".

Ändern Sie in der Shared Services Console die Benutzerverzeichniskonfiguration. Stellen Sie sicher, dass in der Registerkarte Gruppenkonfiguration das Kontrollkästchen Gruppen unterstützen deaktiviert ist.

Hinweis:

Oracle empfiehlt, die Gruppen-URL einzurichten und den Gruppenfilter zu optimieren, um die Anzahl der Gruppen zu reduzieren, die Shared Services zum Erstellen des Cache parsen muss. Auf diese Weise kann die Laufzeitperformance erheblich verbessert werden.

Tipps und allgemeine Probleme

Häufigste Ursachen von Problemen, die beim Konfigurieren von Shared Services mit externen Benutzerverzeichnissen auftreten können:

  • Die Gruppen-URL ist falsch definiert.

  • Hostname, Port oder Domaincontroller ist nicht korrekt angegeben.

  • In der Gruppen-URL sind zu viele Gruppen definiert.

    Hinweis:

    Shared Services zeigt eine Warnung an, wenn die Anzahl der verfügbaren Gruppen im Gruppen-URL höher als 10.000 ist.

Beschleunigung von Benutzerabruf, Anwendungsregistrierung und Sicherheitsladevorgängen

Mit dem folgenden Verfahren können Sie folgende Aufgaben schneller ausführen:

  • Listen von Benutzern für Projekte abrufen

  • Anwendungen registrieren

  • Sicherheit laden

So erhöhen Sie die Performance:

  1. Wenn Sie die Verwendung von Gruppen planen:

    1. Weisen Sie Berechtigungen für externe Benutzer anhand nativer Gruppen statt externer Gruppen zu, und deaktivieren Sie im Bereich "LDAP-/MSAD-Providerkonfiguration" in der Registerkarte "Gruppen" die Option "Gruppen verwenden".

    2. Setzen Sie Gruppen-URLs immer auf den niedrigsten Knoten, der alle Gruppen enthält.

    3. Verwenden Sie nach Möglichkeit einen Gruppenfilter.

  2. Begrenzen Sie die Anzahl der Benutzer mit Zugriff auf EPM System:

    1. Definieren Sie immer eine Benutzer-URL, und legen Sie sie möglichst tief fest.

    2. Legen Sie nach Möglichkeit einen Benutzerfilter fest.

  3. Verwenden Sie die Standardloggingebene WARNING. Ändern Sie die Loggingebene nur zu Debuggingzwecken in TRACE. Informationen hierzu finden Sie unter ODL-Konfiguration.

  4. Setzen Sie bei mehreren Gruppen und Benutzern die Java-Heap-Größe in allen Produkten auf 1 GB. Informationen hierzu finden Sie unter Änderungen der Java-Heap-Größe.

Gruppen-URL

Die Verwendung von mehr als 10.000 Gruppen in der Gruppen-URL beeinträchtigt die Performance. So lösen Sie dieses Problem:

  • Ändern Sie die Gruppen-URL so, dass sie auf einen Knoten einer niedrigeren Ebene verweist.

  • Verwenden Sie einen Gruppenfilter, der nur Gruppen mit Zugriffsberechtigungen abruft.

  • Erstellen Sie eine benutzerdefinierte Gruppenhierarchie zur Unterstützung von EPM System-Anwendungen.

Informationen hierzu finden Sie in der Oracle Enterprise Performance Management - Administrationsdokumentation für Benutzersicherheit.

Einstellung für maximale Größe von Benutzer-/Gruppensuchvorgängen

Bei MSAD-, LDAP-, Datenbank- und SAP-Providern wird die Anzahl der von einer Suche abgerufenen Benutzer und Gruppen durch die Einstellung MaximumSize in der Benutzerverzeichniskonfiguration bestimmt. Um alle Benutzer und Gruppen abzurufen, setzen Sie beim Konfigurieren der Benutzerverzeichnisse den Wert für MaximumSize auf 0. Sie können die Suchergebnisse dann mit Filtern begrenzen.

Start- und Zugriffsprobleme

Probleme beim Start von Shared Services auf dem Anwendungsserver beheben

Wenn die Java-Webanwendung von Shared Services nicht gestartet werden kann:

  1. Prüfen Sie die Shared Services-Logs im Verzeichnis MIDDLEWARE_HOME/user_projects/domains/EPMSystem/servers/FoundationServices0/logs.

  2. Validieren Sie mit EPM System Diagnostics, dass die Datenbankverbindung erfolgreich hergestellt werden kann, und prüfen Sie externe Benutzerverzeichnisse. Dies sind Voraussetzungen für den Start von Java-Webanwendungen. Anweisungen zur Verwendung von EPM System Diagnostics finden Sie in der Oracle Enterprise Performance Management System - Installations- und Konfigurationsdokumentation unter "Installation validieren und Deployment überprüfen".

  3. Ermitteln Sie, ob der Standardport 28080 von einer anderen Anwendung verwendet wird, indem Sie NETSTAT –an | findstr 0.0.0.0:28080 ausführen. Wenn (0.0.0.0:28080) zurückgegeben wird, ändern Sie den Shared Services-Port, oder stoppen Sie den Prozess, der den Port verwendet.

Probleme beim Zugriff auf Produkte aus Shared Services beheben

Die folgenden Probleme können eine erfolgreiche Anmeldung bei EPM System-Produkten verhindern:

  • Die Performance ist inakzeptabel, weil die Anzahl der von einer Suche zurückgegebenen Gruppen nicht durch die Gruppen-URL und den Gruppenfilter begrenzt wird.

  • Sie verwenden ungültige Zugangsdaten für die Anmeldung.

  • Der Server, der das Produkt hostet, ist nicht mit den Servern verbunden, die die Benutzerverzeichnisse und Shared Services hosten, sodass Sie nicht als Benutzer authentifiziert werden können.

Führen Sie folgende Aufgaben aus:

  1. Prüfen Sie die Dateien SharedServices_SecurityClient.log (auf dem Server, der das Produkt hostet) und SharedServices_Security.log (auf dem Server). Informationen hierzu finden Sie unter ODL-Konfiguration.

    • Prüfen Sie den Port der Java-Webanwendung, um sicherzustellen, dass der Webserver verwendet wird.

    • Wenn Gruppencachefehler auftreten, stoppen Sie Shared Services, und aktualisieren Sie den Cache.

    • Wenn Authentifizierungsfehler auftreten, stellen Sie sicher, dass die Benutzer-URL korrekt ist.

  2. Stellen Sie sicher, dass Benutzer-ID und Kennwort korrekt sind.

  3. Stellen Sie sicher, dass der Server, der das Produkt hostet, eine Verbindung zu den Servern herstellen kann, die die Benutzerverzeichnisse und Shared Services hosten.

Produkte erneut bei Shared Services registrieren

Problem: Sie müssen Produkte erneut bei Shared Services registrieren. Beispiel: Sie müssen Produkte erneut registrieren, wenn Sie versehentlich die Registrierungsinformationen löschen.

Lösung: Aktivieren Sie die Shared Services-Konfigurationsaufgabe erneut, indem Sie die Shared Services-Registry mit folgendem Befehl bearbeiten:

Epmsys_registry updateproperty Produkt/instance_task_configuration/@hssregistration Pending, wobei Produkt das erneut zu registrierende EPM System-Produkt ist

Shared Services-Datenbank erneut registrieren

Problem: Sie können eine konfigurierte Shared Services-Datenbank nicht direkt in EPM System Configurator ändern.

Lösung:

  1. Löschen Sie die Datei MIDDLEWARE_HOME/user_projects/config/foundation/11.1.2.0/reg.properties.

  2. Starten Sie EPM System Configurator neu.

  3. Konfigurieren Sie die Shared Services-Datenbank erneut, indem Sie Verbindung zu einer zuvor konfigurierten Datenbank herstellen auswählen.

Produktspezifische Probleme

Shared Services- und Essbase-Komponenten

Problem: Beim Aktualisieren der Sicherheit für Shared Services in der Oracle Essbase Administration Services-Konsole wird folgende Fehlermeldung angezeigt:

Fehler: 1051502: Analytic Services konnte Rollenliste für [ESB:Analytic Servers:PLYSHYP08D:1] nicht von Shared Services-Server abrufen. Fehler: [Verbindung zum Verzeichnisserver konnte nicht hergestellt werden.]

Lösung: Prüfen Sie die Datei SharedServices_SecurityClient.log im Oracle Essbase-Logordner. Informationen hierzu finden Sie unter EPM System-Logs verwenden.

Problem: Sie können als Microsoft Active Directory-Benutzer keine Essbase-Anwendung erstellen.

Dieses Problem tritt auf, wenn Microsoft Active Directory Benutzer- und Kontaktdatensätze enthält und Shared Services für die Rückgabe beider Datensatztypen konfiguriert ist.

Lösung: Bearbeiten Sie CSS.xml durch Angeben der Einstellung objectClass=user. Diese Einstellung verhindert, dass Shared Services Kontaktdatensätze des Microsoft Active Directory-Providers zurückgibt. Die Datei CSS.xml befindet sich im Verzeichnis EPM_ORACLE_INSTANCE/Config/FoundationServices.

Shared Services und Financial Management

Anwendungserstellung

Problem: Die Fehlermeldung Erstellung der Anwendung nicht erfolgreich wird angezeigt.

Lösung: Führen Sie folgende Aufgaben aus:

  • Prüfen Sie die Datei SharedServices_SecurityClient.log.

    Wenn Gruppencachefehler angezeigt werden, stellen Sie sicher, dass die Gruppen-URL und der Gruppenfilter entsprechend der Gruppenanzahl korrekt festgelegt sind. Wenn Data Broker-Eigenschaftsfehler angezeigt werden, aktivieren Sie interopjava logging. Verwenden Sie JRE 1.5, um 1.000 oder mehr Gruppen zu unterstützen.

    Prüfen Sie auf dem Server die Datei SharedServices_Security.log.

    Wenn Fehler im Zusammenhang mit dem Gruppencache angezeigt werden, stellen Sie sicher, dass die Gruppen-URL und der Gruppenfilter entsprechend der Gruppenanzahl festgelegt sind.

  • Prüfen Sie die Oracle Hyperion Financial Management-Logs. Informationen hierzu finden Sie im Abschnitt EPM System-Logs verwenden unter "Financial Performance Management-Anwendungslogs".

  • Wenn auf der Interop-Website eine Umleitung zum Java-Webanwendungsserver eingerichtet ist, stellen Sie sicher, dass die Authentifizierungsmethode "Anonym" ist und dass die integrierte Windows-Authentifizierung nicht verwendet wird.

Smart View-Timeouts

Problem: In Oracle Smart View for Office mit Financial Management tritt nach etwa 30 Minuten ein Timeout auf.

Lösung: Führen Sie folgende Schritte aus:

  • Führen Sie das Server- und Webkonfigurationsutility auf dem Financial Management-Webserver aus, und ändern Sie die Einstellung für den Websessiontimeout. (Die Standardeinstellung ist 20 Minuten.)

  • Wenn der Client den URL-Provider für Smart View verwendet (nicht den Shared Services-Provider), klicken Sie in IIS mit der rechten Maustaste auf das virtuelle Verzeichnis HFMOfficeProvider, um dessen Eigenschaften anzuzeigen, und klicken Sie in der Registerkarte "Virtuelles Verzeichnis" auf Konfiguration. Klicken Sie im neuen Fenster auf Optionen, und ändern Sie die Timeouteinstellung für den Sessionzustand.

  • Ändern Sie die Einstellung der Standardwebsite.

Prüfen Sie auch die Timeouteinstellungen der Standardwebsite und die Smart View-Providereinstellungen in der FM-Server- und Webkonfiguration.