运行远程诊断代理
在报告 Oracle Hyperion Shared Services 错误之前,请运行远程诊断代理 (RDA)。将 RDA 输出附加到错误报告。输出文件位于 /ohs/rda 中。
要运行 RDA,请在命令窗口中输入此命令:
/ohs/rda/rda.cmd
有关详细信息,请参阅 /ohs/rda 中的 RDA readme 文件。
配置用户目录
问题:从 Shared Services Console UI 配置外部用户目录失败,受管服务器被终止。
原因:由于同时运行外部进程(例如安全扫描),可能会强制关闭受管服务器。
解决方案:通过扫描受管服务器日志,验证受管服务器是否被强制关闭及其原因。此外,检查您的环境,确定它是否配备了安全扫描或任何其他可以终止受管服务器进程的外部进程。
/u01/Oracle/user_projects/domains/EPMDev/bin/startWebLogic.sh: line 205: 797213 Killed
${JAVA_HOME}/bin/java ${JAVA_VM} ${MEM_ARGS} ${LAUNCH_ARGS} -Dweblogic.Name=${SERVER_NAME} -Djava.security.policy=${WLS_POLICY_FILE} ${JAVA_OPTIONS} ${PROXY_SETTINGS} ${SERVER_CLASS}
Stopping Derby server...
Derby server stopped.
<Apr 29, 2024 12:49:34 PM CEST> <INFO> <NodeManager> <The server 'EPMServer0' with process id 797074 is no longer alive; waiting for the process to die.>
安全扫描识别出潜在风险,并会终止启动操作的父进程,这可能会导致受管服务器关闭。
为了防止这种情况,请禁用安全扫描或外部进程,或者从安全扫描中获取有关导致服务器终止的操作的堆栈跟踪并将该操作列入允许列表。
Shared Services 登录
问题:Shared Services 登录失败。
解决方案:通过启动 Oracle Hyperion Enterprise Performance Management System Diagnostics 对用户目录和 Shared Services Java Web 应用程序进行故障排除,以确保启动产品的 Java Web 应用程序。有关说明,请参阅《Oracle Enterprise Performance Management System 安装与配置指南》中的“验证安装和验证部署”。
另请检查 SharedServices_Security.log 文件。如果无法登录产品,请检查 SharedServices_SecurityClient.log。请参阅“使用 EPM System 日志”。
如果针对 Microsoft Active Directory 的登录失败,请确保将 Shared Services 配置为使用 DNS 查找来定位 Active Directory。有关说明,请参阅下一部分“Active Directory 的高可用性”中的解决方案。针对 Active Directory 登录失败的最常见原因是,为域控制器指定的主机因进行维护而处于脱机状态。
Active Directory 的高可用性
问题:您需要确保 Microsoft Active Directory 的高可用性
解决方案:将 Shared Services 配置为使用 DNS 查找来定位 Active Directory:
指定域名。
(可选)指定站点和 DNS IP 地址。
注意:
Oracle 建议不要为 Shared Services 中的 Active Directory 配置选择“主机名”选项。“主机名”选项仅用于测试目的。
配置为执行 DNS 查找时,Shared Services 将查询 DNS 服务器来识别注册的域控制器,并在发生故障时切换到可用的域控制器。有关详细信息,请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
注:
Oracle 建议将 Shared Services 配置为无论是否需要高可用性,都使用 DNS 查找来定位 Active Directory。
产品注册
问题:当 Oracle Enterprise Performance Management System 产品与 Shared Services 位于不同的计算机上时,无法使用 Shared Services 注册该产品。此消息记录在 SharedServices_security.log 中:
com.hyperion.interop.lib.OperationFailedException: 无法进行身份验证
解决方案:
验证 Shared Services 的管理员密码是否正确。
订阅使用原子钟的任何联机时间源,并确保两台计算机都使用此时间源以便它们保持同步。
登录尝试失败后的安全锁定
问题:出于安全考虑,您想要锁定多次尝试登录 Oracle Hyperion Enterprise Performance Management Workspace 均未成功的用户。
解决方案:在外部目录(例如,Microsoft Active Directory 或启用 LDAP 的用户目录(如 Oracle Internet Directory))中,定义密码策略来指定在锁定用户之前允许尝试的登录次数。EPM System 会遵守由外部用户目录的密码策略所控制的所有锁定。因为 EPM System 11.1.2 版的安全性不支持 Native Directory 的密码策略,所以在经过指定次数的登录尝试失败后无法锁定 Native Directory 用户。
用户名中的星号
问题:用户名包含星号 (*) 的用户有权未经授权查看相似用户名的信息。
解决方案:请勿在用户名或通用名 (CN) 中使用星号字符 (*),因为它是用于 Oracle Hyperion Shared Services Registry 中执行的搜索的通配符。有关用户名中所支持的字符的信息,请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
EPM System 管理员用户名
问题:您想让 EPM System 管理员成为公司目录中的用户,而非 "admin",以便将公司密码策略应用于该管理员。
解决方案:在 Shared Services 中,将想让其成为 EPM 管理员的用户设置为“管理员”角色。
提示:
通过为本地 "admin" 帐户分配一个较长的随机密码来阻止对该帐户的访问。"admin" 帐户无法删除。
AuditHandler 消息
问题:SharedServices_Audit.log 文件包括这样一行:
AuditHandler - Server Audit Enable Status:- false
解决方案:您可以放心忽略此消息,它表示在 Shared Services 服务器上未启用审核。
每当审核客户端对服务器进行 ping 操作以获取状态时,都会包含一条 AuditHandler 状态消息。如果启用了审核,则客户端会继续执行审核事件;否则,客户端将忽略审核事件。
审核数据清除和 Oracle 数据库表空间
问题:使用 Shared Services 反复清除审核数据后,Oracle 数据库中未释放表空间。
注:
在 Oracle 数据库中,当从表中删除数据时不会自动释放表空间。
解决方案:执行下列步骤:
停止 Shared Services 服务器并运行以下查询来缩小表所占用的空间:
alter table SMA_AUDIT_ATTRIBUTE_FACT enable row movement alter table SMA_AUDIT_ATTRIBUTE_FACT shrink space alter table SMA_AUDIT_FACT enable row movement alter table SMA_AUDIT_FACT shrink space
重新启动 Shared Services 服务器。
单点登录
问题:启用 Oracle 单点登录 (OSSO) 安全代理后,单点登录 (SSO) 失败。
当 Shared Services 安全设置将 OSSO 指定为 SSO 提供程序或代理并将从 HTTP 请求获取远程用户作为 SSO 机制时,会出现此问题
解决方案:使用 Oracle Hyperion Shared Services Console,选择以下安全设置:
SSO 提供程序或代理 - 其他
SSO 机制 - 自定义 HTTP 头
“自定义 HTTP 头”的默认值为 HYPLOGIN。您可以指定其他值。
请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
Shared Services Registry 内容与更新
注意:
编辑 Shared Services Registry 时务必格外小心,因为这对运行 EPM System 产品来说至关重要。在对 Shared Services Registry 进行任何更改之前,请始终备份 Oracle Hyperion Foundation Services 数据库。
注册表编辑器实用程序 epmsys_registry.bat (Windows) 位于 EPM_ORACLE_INSTANCE/bin 中。运行此实用程序将创建有关 Shared Services Registry 内容的报告。请参阅《Oracle Enterprise Performance Management System 部署选项指南》中的“更新 Shared Services Registry”
问题:您无法访问 Shared Services Oracle Hyperion Enterprise Performance Management System 生命周期管理用户界面,并且必须查看 Shared Services Registry 的内容。
解决方案:不使用参数运行注册表编辑器实用程序,生成名为 registry.html 的报告。
问题:您必须更改用户目录信息,但无法访问 Shared Services 生命周期管理用户界面。
解决方案:运行注册表编辑器实用程序以获取部署信息的报告,该报告可帮助您确定如何编辑 Shared Services Registry。
用户目录和设置
另请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
设置问题和最佳做法
如果您已有一个 LDAP/MSAD 用户目录,请在设置 EPM System 应用程序之前,使用标准 LDAP 浏览器来浏览存储用户凭据的用户目录。LDAP 浏览器用于连接到用户目录的设置与 EPM System 应用程序用于连接到用户目录的设置相同。您可以下载免费的 LDAP 浏览器。
使用浏览器检查以下几点:
是否可以从正在使用的服务器连接到用户目录
响应时间
用户目录的任何搜索的起始点(基本 DN)
起始点下的用户和组的计数
要确保可接受的登录性能:
最大程度地减少 EPM System 应用程序的组数和用户数。
确保托管 EPM System 应用程序的服务器计算机与托管在设置过程中使用的用户目录的服务器计算机位于同一地理位置。
找到搜索的最佳起始点或创建自定义组层次。
对于搜索顺序中的第一项,指定用户登录次数最多的目录。
外部用户、组信息和性能
请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
问题:由于 Shared Services 中存在大量外部用户或组而导致性能下降。
解决方案:
设置筛选器以仅检索所需的用户。
Oracle 建议设置组 URL 并调整组筛选器,以减少 Shared Services 为构建高速缓存而必须解析的组数。这样做可显著提高运行时性能。
请参阅“更快的用户检索、应用程序注册和安全加载”和“用户/组搜索的最大大小设置”。
问题:即使您不使用 LDAP 或 MSAD 组,Shared Services 也会访问 LDAP 和 MSAD 组信息。
解决方案:在 Native Directory 中创建组,并将 LDAP 和 MSAD 目录中的用户分配给这些组,然后将“使用组”选项设置为 false。
使用 Shared Services Console 修改用户目录配置。验证是否已清除组配置选项卡上的支持组复选框。
注:
Oracle 建议设置组 URL 并调整组筛选器,以减少 Shared Services 为构建高速缓存而必须解析的组数。这样做可显著提高运行时性能。
技巧和常见问题
使用外部用户目录配置 Shared Services 时可能会遇到问题的最常见原因:
组 URL 定义不正确。
未正确指定主机名、端口或域控制器。
组 URL 中定义的组过多。
注:
如果组 URL 内可用组的数量超过 10,000,Shared Services 将显示警告。
更快的用户检索、应用程序注册和安全加载
通过以下过程,您可以更快地执行这些任务:
针对项目检索用户列表
注册应用程序
加载安全性
要提高性能:
如果计划使用组:
使用本地组(而非外部组)设置外部用户,并清除 LDAP/MSAD 提供程序配置面板的组选项卡上的使用组选项。
始终将组 URL 设置为包含所有组的最低节点。
使用组筛选器(如果可能)。
限制具有 EPM System 访问权限的用户数:
始终定义用户 URL 并将其设置得尽可能深。
设置用户筛选器(如果可能)。
使用默认日志记录级别 WARNING。将级别更改为 TRACE,仅用于调试目的。请参阅“ODL 配置”。
对于多个组和用户,将所有产品中的 Java 堆大小设置为 1 GB。请参阅“Java 堆大小更改”。
组 URL
组 URL 中的组超过 10,000 个时会降低性能。要解决此问题:
更改组 URL,使其指向较低级别的节点。
使用只检索所设置组的组筛选器。
创建自定义组层次,以支持 EPM System 应用程序。
请参阅《Oracle Enterprise Performance Management System 用户安全管理指南》。
用户/组搜索的最大大小设置
对于 MSAD、LDAP、数据库和 SAP 提供程序,搜索检索的用户数和组数由用户目录配置中的 MaximumSize 设置确定。要检索所有用户和组,可在配置用户目录时将 MaximumSize 设置为 0。然后,您可以使用筛选器来限制搜索。
启动和访问问题
解决应用程序服务器上的 Shared Services 启动问题
如果 Shared Services Java Web 应用程序未启动:
查看 MIDDLEWARE_HOME/user_projects/domains/EPMSystem/servers/FoundationServices0/logs 中的 Shared Services 日志。
从 EPM System Diagnostics 中,验证数据库连接是否成功,并检查外部用户目录。这些是 Java Web 应用程序启动的先决条件。有关使用 EPM System Diagnostics 的说明,请参阅《Oracle Enterprise Performance Management System 安装与配置指南》中的“验证安装和验证部署”。
通过运行 NETSTAT –an | findstr 0.0.0.0:28080 确定默认端口 28080 是否正由其他应用程序使用。如果您获得 (0.0.0.0:28080),请更改 Shared Services 端口或停止正在使用该端口的进程。
解决从 Shared Services 访问产品的问题
您可能会因为以下原因而无法登录其他 EPM System 产品:
因为组 URL 和组筛选器未限制搜索返回的组数,所以性能慢得令人无法接受。
使用了无效的登录凭据。
托管产品的服务器未连接到托管用户目录和 Shared Services 的服务器,因此无法作为用户进行身份验证。
执行以下任务:
检查 SharedServices_SecurityClient.log(位于托管产品的服务器上)和 SharedServices_Security.log(位于服务器上)。请参阅“ODL 配置”。
检查 Java Web 应用程序端口以确保使用的是 Web 服务器。
如果存在组高速缓存错误,请停止 Shared Services 并刷新高速缓存。
如果存在身份验证错误,请验证用户 URL 是否正确。
确保用户 ID 和密码正确。
确保托管产品的服务器可以连接到托管用户目录和 Shared Services 的服务器。
使用 Shared Services 重新注册产品
问题:您必须使用 Shared Services 重新注册产品。例如,如果您不小心删除了注册信息,则必须重新注册产品。
解决方案:重新启用 Shared Services 配置任务,方法为使用以下命令编辑 Shared Services Registry:
Epmsys_registry updateproperty product/instance_task_configuration/@hssregistration Pending,其中 product 标识您要重新注册的 EPM System 产品。
重新配置 Shared Services 数据库
问题:您无法在 EPM System Configurator 中直接更改已配置的 Shared Services 数据库。
解决方案:
删除 MIDDLEWARE_HOME/user_projects/config/foundation/11.1.2.0/reg.properties。
重新启动 EPM System Configurator。
通过选择连接到之前配置的数据库,重新配置 Shared Services 数据库。
特定于产品的问题
Shared Services 和 Essbase 组件
问题:从 Oracle Essbase Administration Services 控制台中刷新 Shared Services 的安全性时,收到以下错误消息:
错误: 1051502: Analytical Services 无法从 Shared Services 服务器获取 [ESB:Analytic Servers:PLYSHYP08D:1] 的角色列表,出现错误 [无法连接到目录服务器。]
解决方案:请参阅 Oracle Essbase 日志文件夹中的 SharedServices_SecurityClient.log。请参阅“使用 EPM System 日志”。
问题:您无法以 Microsoft Active Directory 用户身份创建 Essbase 应用程序。
如果 Microsoft Active Directory 包含用户和联系人记录,并且将 Shared Services 配置为返回这两种记录类型,则会出现此问题。
解决方案:编辑 CSS.xml 以指定设置 objectClass=user。此设置可阻止 Shared Services(Microsoft Active Directory 提供程序)返回联系人记录。CSS.xml 文件位于 EPM_ORACLE_INSTANCE/Config/FoundationServices 中。
Shared Services 和 Financial Management
应用程序创建
问题:您收到一条应用程序创建失败错误消息。
解决方案:执行以下任务:
检查 SharedServices_SecurityClient.log。
如果显示组高速缓存错误,请确保正确设置了组 URL 和筛选器以适应组计数。如果显示数据代理属性错误,请启用 interopjava logging。使用 JRE 1.5 来支持 1,000 个或更多组。
在服务器上,检查 SharedServices_Security.log。
如果错误与组高速缓存相关,请确保将组 URL 和筛选器设置为适应组计数。
检查 Oracle Hyperion Financial Management 日志。请参阅“使用 EPM System 日志”中的“Financial Performance Management 应用程序日志”。
如果 interop 网站重定向到 Java Web 应用程序服务器,请确保身份验证方法是匿名的,并且不使用 Windows 集成身份验证。
Smart View 超时
问题:具有 Financial Management 的 Oracle Smart View for Office 约在 30 分钟后超时。
解决方案:尝试以下过程:
在 Financial Management Web 服务器上运行服务器和 Web 配置实用程序,并更改 Web 会话超时设置。(默认设置为 20 分钟。)
如果客户端将 URL 提供程序用于 Smart View(而非 Shared Services 提供程序),请右键单击 IIS 中的 HFMOfficeProvider 虚拟目录的属性,然后单击“虚拟目录”选项卡上的配置。在新窗口中,单击选项,并更改会话状态超时设置。
更改默认网站的设置。
此外,还要检查 FM 服务器和 Web 配置中的默认网站超时设置和 Smart View 提供程序设置。