Shared Services

リモート診断エージェントの実行

Oracle Hyperion Shared Servicesの不具合を報告する前に、リモート診断エージェント(RDA)を実行します。RDA出力をバグ・レポートに添付します。出力ファイルは、/ohs/rdaにあります。

RDAを実行するには、コマンド・ウィンドウに次のコマンドを入力します:

/ohs/rda/rda.cmd

詳細は、/ohs/rdaにあるRDAのreadmeファイルを参照してください。

Shared Servicesへのログオン

問題: Shared Servicesへのログオンに失敗します。

解決策: Oracle Hyperion Enterprise Performance Management System診断を起動して、ユーザー・ディレクトリおよびShared Services Java Webアプリケーションのトラブルシューティングを行い、製品のJava Webアプリケーションが確実に起動するようにします。手順は、Oracle Enterprise Performance Management Systemインストレーションおよび構成ガイドのインストールの検証とデプロイメントの確認を参照してください。

SharedServices_Security.logファイルも確認します。製品にログオンできない場合、SharedServices_SecurityClient.logを確認します。EPM Systemログの使用を参照してください。

Microsoft Active Directoryに対するログオンに失敗する場合、DNS検索を使用してActive Directoryを検索するようShared Servicesが構成されていることを確認します。手順は、次の「Active Directoryの高可用性」の解決策を参照してください。Active Directoryに対するログオンの失敗の原因のうち最も一般的なものは、ドメイン・コントローラがメンテナンスのため、オフラインであることです。

Active Directoryの高可用性

問題: Microsoft Active Directoryの高可用性が確実に実現される必要があります。

解決策: DNS検索を使用してActive Directoryを検索するようShared Servicesを構成します:

  • ドメイン名を指定します。

  • (オプション)サイトとDNS IPアドレスを指定します。

注意:

Shared ServicesでのActive Directoryの構成に「ホスト名」オプションを選択しないようお薦めします。「ホスト名」オプションは、テスト目的でのみ使用します。

DNS検索を実行するよう構成されている場合、障害時、Shared ServicesはDNSサーバーに問い合せて登録されているドメイン・コントローラを識別し、使用可能なドメイン・コントローラに切り替えます。詳細は、Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドを参照してください。

注:

高可用性が必要かどうかに関係なく、DNS検索を使用してActive Directoryを検索するようShared Servicesを構成することをお薦めします。

製品の登録

問題: Oracle Enterprise Performance Management System製品とShared Servicesが異なるマシンにある場合、Oracle Enterprise Performance Management System製品をShared Servicesに登録できません。次のメッセージがSharedServices_security.logに出力されます:

com.hyperion.interop.lib.OperationFailedException: 認証できません。

解決策:

  • Shared Servicesに対する管理者のパスワードが正しいことを確認します。

  • 原子時計を使用するオンライン・タイム・ソースを利用します。両方のマシンでこのタイム・ソースを使用して同期をとります。

ログオンの失敗後のセキュリティ・ロックアウト

問題: セキュリティ上の理由から、Oracle Hyperion Enterprise Performance Management Workspaceへのログオン試行が複数回失敗したユーザーをロックアウトする必要があります。

解決策: 外部ディレクトリ(Microsoft Active DirectoryやOracle Internet DirectoryなどのLDAP対応のユーザー・ディレクトリ)で、何回ログオンに失敗したらユーザーをロック・アウトするかを指定するパスワード・ポリシーを定義します。EPM Systemは、外部ユーザー・ディレクトリのパスワード・ポリシーによって制御されるすべてのロックに対応します。リリース11.1.2のEPM Systemセキュリティでは、ネイティブ・ディレクトリのパスワード・ポリシーがサポートされないため、指定された回数ログオンを失敗してもネイティブ・ディレクトリ・ユーザーはロックアウトされません。

ユーザー名内のアスタリスク

問題: ユーザー名にアスタリスク(*)を含むユーザーは、同じようなユーザー名の情報に不正にアクセスできます。

解決策: アスタリスク文字(*)はOracle Hyperion Shared Servicesレジストリでの検索でワイルドカード文字として使用されるため、ユーザー名または共通名(CN)に使用しないでください。ユーザー名でサポートされる文字の詳細は、Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドを参照してください。

EPM System管理者のユーザー名

問題: EPM System管理者を、"admin"ではなく企業ディレクトリに登録されているユーザーにして、企業のパスワード・ポリシーが管理者に適用されるようにする必要があります。

解決策: Shared Servicesで、EPM管理者とするユーザーに管理者の役割をプロビジョニングします。

ヒント:

ネイティブの"admin"アカウントには長いランダムなパスワードを割り当てて、アクセスできないようにします。"admin"アカウントは削除できません。

AuditHandlerメッセージ

問題: SharedServices_Audit.logファイルに次の行が含まれています:

AuditHandler - Server Audit Enable Status:- false

解決策: このメッセージは、Shared Servicesサーバーで監査が有効でないことを表していますが、無視しても問題ありません。

監査クライアントが、ステータスについてサーバーにpingすると、AuditHandlerステータス・メッセージが含まれます。監査が有効な場合、クライアントは監査イベントを処理しますが、有効でない場合は、監査イベントを無視します。

監査データの削除およびOracleデータベースの表領域

問題: Shared Servicesを使用して監査データを繰り返し削除した後、Oracleデータベースから表領域が解放されません。

注:

Oracleデータベースでは、表からデータを削除しても表領域は自動的に解放されません。

解決策: 次のステップを行います:

  1. Shared Servicesサーバーを停止し、次の問合せを実行して表が使用している領域を圧縮します:

    alter table SMA_AUDIT_ATTRIBUTE_FACT enable row movement 
alter table SMA_AUDIT_ATTRIBUTE_FACT shrink space 

alter table SMA_AUDIT_FACT enable row movement 
alter table SMA_AUDIT_FACT shrink space

  2. Shared Servicesサーバーを再起動します。

シングル・サインオン

問題: Oracle Single Sign-On (OSSO)セキュリティ・エージェントを有効にすると、シングル・サインオン(SSO)に失敗します。

この問題が発生するのは、Shared Servicesのセキュリティ設定で、SSOプロバイダまたはエージェントとしてOSSOが指定され、SSOメカニズムとして「HTTP要求からリモート・ユーザーを取得」が指定されている場合です

解決策: Oracle Hyperion Shared Services Consoleを使用して、次のセキュリティ設定を選択します:

  • SSOプロバイダ/エージェント - その他

  • SSOメカニズム - カスタムHTTPヘッダー

    カスタムHTTPヘッダーのデフォルト値はHYPLOGINです。別の値も指定できます。

Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドを参照してください。

Shared Servicesレジストリの内容と更新

注意:

Shared ServicesレジストリEPM System製品の実行に不可欠なため、編集には十分注意してください。Shared Servicesレジストリに変更を加える場合、常にその前にOracle Hyperion Foundation Servicesデータベースをバックアップしてください。

レジストリ・エディタ・ユーティリティ—epmsys_registry.bat (Windows) —はEPM_ORACLE_INSTANCE/binにあります。このユーティリティを実行すると、Shared Servicesレジストリの内容についてレポートが作成されます。Oracle Enterprise Performance Management Systemデプロイメント・オプション・ガイドのShared Servicesレジストリの更新を参照してください

問題: Shared ServicesOracle Hyperion Enterprise Performance Management Systemライフサイクル管理ユーザー・インタフェースにアクセスできない状態で、Shared Servicesレジストリの内容を表示する必要があります。

解決策: パラメータを使用せずにレジストリ・エディタ・ユーティリティを実行し、registry.htmlというレポートを生成します。

問題: ディレクトリ情報を変更する必要がありますが、Shared Servicesライフサイクル管理ユーザー・インタフェースにアクセスできません。

解決策: レジストリ・エディタ・ユーティリティを実行してデプロイメント情報のレポートを作成すれば、Shared Servicesレジストリをどのように編集すればいいかを判断しやすくなります。

ユーザー・ディレクトリとプロビジョニング

Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドも参照してください。

プロビジョニングの問題とベスト・プラクティス

既存のLDAP/MSADユーザー・ディレクトリがある場合は、EPM Systemアプリケーションのプロビジョニングを行う前に、標準のLDAPブラウザを使用して、ユーザー資格証明を保管するユーザー・ディレクトリを調べます。ユーザー・ディレクトリに接続するためにLDAPブラウザで使用される設定は、ユーザー・ディレクトリに接続するためにEPM Systemアプリケーションで使用される設定と同じです。無料のLDAPブラウザをダウンロードできます。

ブラウザを使用して、次のことを確認します:

  • 使用するサーバーからユーザー・ディレクトリに接続できるかどうか

  • 応答時間

  • ユーザー・ディレクトリの検索の開始点(ベースDN)

  • 開始点でのユーザーとグループの数

許容できるログイン・パフォーマンスを確保するには:

  • EPM Systemアプリケーションのグループとユーザーの数を最小限に抑えます。

  • EPM Systemアプリケーションをホストするサーバー・コンピュータが、プロビジョニング・プロセスで使用されるユーザー・ディレクトリをホストするサーバー・コンピュータと地理的に同じ場所にあることを確認します。

  • 検索に最適な開始点を検索するか、カスタム・グループ階層を作成します。

  • 検索順の最初のアイテムには、最多数のユーザーのログイン元のディレクトリを指定します。

外部ユーザー、グループ情報とパフォーマンス

Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドを参照してください。

問題: 多数の外部ユーザーまたはグループがShared Servicesで使用可能なため、パフォーマンスが低下しています。

解決策:

  • 必要なユーザーのみを取得するフィルタを設定します。

  • グループURLを設定し、グループ・フィルタをチューニングして、Shared Servicesが解析してキャッシュを作成する必要があるグループ数を減らすことをお薦めします。これを行うと、実行時のパフォーマンスが著しく向上します。

ユーザーの取得、アプリケーションの登録とセキュリティのロードにかかる時間の短縮およびユーザー/グループ検索の最大サイズの設定を参照してください。

問題: LDAPまたはMSADグループを使用しない場合も、Shared ServicesはLDAPおよびMSADグループ情報にアクセスします。

解決策: ネイティブ・ディレクトリにグループを作成し、そのグループにLDAPおよびMSADディレクトリのユーザーを割り当て、ユーザー・グループ・オプションをfalseに設定します。

Shared Services Consoleを使用して、ユーザー・ディレクトリ構成を変更します。「グループ構成」タブの「グループのサポート」チェック・ボックスがクリアされていることを確認します。

注:

グループURLを設定し、グループ・フィルタをチューニングして、Shared Servicesが解析してキャッシュを作成する必要があるグループ数を減らすことをお薦めします。これを行うと、実行時のパフォーマンスが著しく向上します。

ヒントと一般的な問題

Shared Servicesと外部のユーザー・ディレクトリを使用する際に生じる最も一般的な問題の原因:

  • CSSConfig内のグループURLが間違って定義されています。

  • ホスト名、ポート、またはドメイン・コントローラが正しく指定されていません。

  • グループURLで非常に多くのグループが定義されています。

    注:

    グループURL内の使用可能なグループ数が10,000を超えると、Shared Servicesは警告を表示します。

ユーザーの取得、アプリケーションの登録とセキュリティのロードにかかる時間の短縮

次のタスクにかかる時間を短縮するには、この後の手順を実行します:

  • プロジェクトに対してユーザーのリストを取得する

  • アプリケーションを登録する

  • セキュリティをロードする

パフォーマンスを高めるには:

  1. グループを使用する場合:

    1. 外部グループではなくネイティブ・グループを使用して外部ユーザーをプロビジョニングし、LDAP/MSADプロバイダ構成パネルの「グループ」タブのグループの使用オプションをクリアします。

    2. グループURLを、すべてのグループを含む最下位ノードに常に設定します。

    3. 可能な場合はグループ・フィルタを使用します。

  2. EPM Systemアクセス権を持つユーザーの数を制限します。

    1. 常にユーザーURLを定義し、できるだけ深く設定します。

    2. 可能な場合はユーザー・フィルタを設定します。

  3. デフォルトのロギング・レベルWARNINGを使用します。デバッグ目的の場合にかぎり、レベルをTRACEに変更します。ODL構成を参照してください。

  4. グループやユーザーが複数の場合は、すべての製品のJavaヒープ・サイズを1GBに設定します。Javaヒープ・サイズを参照してください。

グループURL

グループURLのグループが10,000を超えると、パフォーマンスが低下します。この問題を解決するには:

  • 下位レベルのノードを示すようグループURLを変更します。

  • プロビジョニング済グループのみを取得するグループ・フィルタを使用します。

  • EPM Systemアプリケーションをサポートするためにカスタム・グループ階層を作成します。

Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドを参照してください。

ユーザー/グループ検索の最大サイズの設定

MSAD、LDAP、データベースおよびSAPプロバイダの場合、検索で取得するユーザーとグループの数は、ユーザー・ディレクトリ構成のMaximumSize設定で決定されます。すべてのユーザーとグループを取得するには、ユーザー・ディレクトリの構成時にMaximumSizeを0に設定します。検索の絞り込みには、フィルタを使用します。

起動およびアクセスに関する問題

アプリケーション・サーバーでのShared Services起動の解決

Shared Services Java Webアプリケーションが開始しない場合:

  1. MIDDLEWARE_HOME/user_projects/domains/EPMSystem/servers/FoundationServices0/logsShared Servicesログを確認します。

  2. EPM System診断から、データベース接続が成功していることを確認し、外部ユーザー・ディレクトリをチェックします。これがJava Webアプリケーション起動の前提条件です。EPM System診断を使用する手順は、Oracle Enterprise Performance Management Systemインストレーションおよび構成ガイドのインストールの検証とデプロイメントの確認を参照してください。

  3. NETSTAT -an | findstr 0.0.0.0:28080を実行して、デフォルトのポートである28080が別のアプリケーションで使用されているかどうかを確認します。(0.0.0.0:28080)が得られたら、Shared Servicesポートを変更するか、そのポートを使用しているプロセス停止します。

Shared Servicesから製品へのアクセスに関する問題の解決

次の理由で、その他のEPM System製品にログインできないことがあります:

  • グループURLとグループ・フィルタで、検索によって戻されるグループ数が制限されていないため、パフォーマンスが低下しています。

  • 無効なログオン資格証明を使用しています。

  • 製品をホストするサーバーが、ユーザー・ディレクトリとShared Servicesをホストするサーバーに接続されていないため、ユーザーとして認証されません。

次のタスクを実行します:

  1. SharedServices_SecurityClient.log (製品をホストするサーバー上)とSharedServices_Security.log (サーバー上)を確認します。ODL構成を参照してください。

    • Webサーバーを使用しているかどうか、Java Webアプリケーション・ポートを確認します。

    • グループ・キャッシュ・エラーが発生する場合は、Shared Servicesを停止し、キャッシュをリフレッシュします。

    • 認証エラーが発生する場合は、ユーザーURLが正しいことを確認します。

  2. ユーザーIDとパスワードが正しいことを確認します。

  3. 製品をホストするサーバーが、ユーザー・ディレクトリとShared Servicesをホストするサーバーに接続できることを確認します。

Shared Servicesへの製品の再登録

問題: 製品をShared Servicesに再登録する必要があります。たとえば、誤って登録情報を削除した場合、製品を再登録する必要があります。

解決策: 次のコマンドを使用してShared Servicesレジストリを編集し、Shared Services構成タスクを再度有効にします:

Epmsys_registry updateproperty product/instance_task_configuration/@hssregistration Pendingproductには、登録するEPM System製品を指定します。

Shared Servicesデータベースの再構成

問題: すでに構成されているShared ServicesデータベースをEPM Systemコンフィグレータで直接変更できません。

解決策:

  1. MIDDLEWARE_HOME/user_projects/config/foundation/11.1.2.0/reg.propertiesを削除します。

  2. EPM Systemコンフィグレータを再起動します。

  3. 「前に構成したデータベースに接続」を選択して、Shared Servicesデータベースを再構成します。

製品固有の問題

Shared ServicesおよびEssbaseコンポーネント

問題: Oracle Essbase Administration ServicesコンソールからShared Servicesに対するセキュリティのリフレッシュ中に、次のエラー・メッセージが表示されます:

エラー: 1051502: Analytical Servicesは、[ESB:Analytic Servers:PLYSHYP08D:1]の役割の一覧をエラー[ディレクトリ・サーバーに接続できませんでした]でShared Services Serverから取得できませんでした。

解決策: Oracle EssbaseのログのフォルダにあるSharedServices_SecurityClient.logを確認します。EPM Systemログの使用を参照してください。

問題: Microsoft Active DirectoryユーザーとしてEssbaseアプリケーションを作成できません。

この問題が発生するのは、Microsoft Active Directoryにユーザーと担当者のレコードが格納されており、Shared Servicesが両方のレコード・タイプを返すよう構成されている場合です。

解決策: CSS.xmlを編集し、objectClass=user設定を指定します。この設定により、Microsoft Active DirectoryプロバイダであるShared Servicesは担当者レコードを返さないようになります。CSS.xmlファイルは、EPM_ORACLE_INSTANCE/Config/FoundationServicesにあります。

Shared ServicesFinancial Management

アプリケーションの作成

問題: アプリケーションの作成に失敗したというエラー・メッセージが表示されます。

解決策: 次のタスクを実行します:

  • SharedServices_SecurityClient.logを確認します。

    グループ・キャッシュ・エラーが表示される場合は、グループURLおよびフィルタがグループ数に応じて適切に設定されていることを確認します。データ・ブローカ・プロパティ・エラーが表示される場合は、interopjava loggingを使用可能にします。1,000以上のグループをサポートするには、JRE 1.5を使用します。

    サーバーで、SharedServices_Security.logを確認します。

    グループ・キャッシュに関するエラーの場合は、グループURLとフィルタがグループ数に応じて設定されていることを確認します。

  • Oracle Hyperion Financial Managementログを確認します。EPM Systemログの使用のFinancial Performance Managementアプリケーションのログを参照してください。

  • interop WebサイトからJava Webアプリケーション・サーバーにリダイレクトする場合は、認証方法が匿名であり、Windows統合認証が使用されていないことを確認します。

Smart Viewタイムアウト

問題: Financial ManagementでのOracle Smart View for Officeが、約30分後にタイムアウトします。

解決策: 次の手順を試します:

  • Financial Management WebサーバーでサーバーとWeb構成ユーティリティを実行し、Webセッションのタイムアウト設定を変更します。(デフォルトの設定は20分です。)

  • クライアントがSmart ViewShared ServicesプロバイダではなくURLプロバイダを使用している場合は、IISのHFMOfficeProvider仮想ディレクトリのプロパティを右クリックし、「仮想ディレクトリ」タブの「構成」をクリックします。新しいウィンドウで「オプション」をクリックし、セッション状態のタイムアウト設定を変更します。

  • デフォルトのWebサイトの設定を変更します。

また、FMサーバーおよびWeb構成でデフォルトのWebサイトのタイムアウト設定とSmart Viewプロバイダ設定を確認します。