Od numer majowego 2010, magazyn HAKIN9 będzie wydawany za darmo w postaci elektronicznej.

Miłego czytania i testowania ;-)

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    -
     Status code:    0xC000006D
     Substatus code:    0×8009030E
     Caller User Name:    -
     Caller Domain:    -
     Caller Logon ID:    -
     Caller Process ID:    -
     Transited Services:    -
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

Portal Virtual Study ma przyjemnośd zaprosid na sesję Pauli Januszkiewicz (MVP: Enterprise Security)
- Techniki hakerskie użyteczne dla administratora IT. Będzie to sesja dostępna online za pomocą
bezpłatnego klienta Microsoft Live Meeting.
Każdy z nas słyszał o hakerach. Doskonale wiadomo, że ich praca różni się od zadań administratora,
jednak wiele technik używanych przez hakerów może byd z powodzeniem wykorzystywanych przez
administratorów w codziennej pracy. Z tej sesji dowiemy się jak naszą infrastrukturę postrzegają
hakerzy, jakich metod używają i dzięki temu jak się przed nimi bronić. Gorąco zachęcamy do udziału
na żywo! Jakość sesji jest zdecydowanie lepsza niż nagrania; nieoceniona jest także możliwość
zadawania pytań w trakcie i po prezentacji. Przewidziane są również nagrody do rozlosowania wśród
uczestników. Sesja miała swoją premierę na TechEd 2009 w Berlinie i cieszyła się tak dużym
zainteresowaniem, że na ponad trzystuosobowej sali zabrakło miejsca dla wszystkich chętnych i
organizatorzy zadecydowali o jej dodatkowym powtórzeniu w ostatnim dniu konferencji.
Poniżej kilka wypowiedzi osób, które miały przyjemność uczestniczenia w prezentacji Pauli na TechEd
Europe 2010:

Paula pokazała metody przeprowadzenia ataków offline, wykorzystywania debuggera oraz parę
świetnych tipów dotyczących szkolenia użytkowników i administratorów. Naprawdę dobra sesja.
Brawo!

- Karol Stilger, Microsoft MVP

Paula opowiedziała o podmianie pliku binarnego usługi, enumeracji kont, białym wywiadzie,
odtworzeniu systemu po pełnym crashu - offline access, debuggowaniu crash dumpów. Sesja była
bardzo dobrze poprowadzona, a prelegentka nawiązała świetny kontakt z publicznością.

- Robert Stuczyński, Microsoft MVP

Sesja była ciekawie poprowadzona i udało mi się kilka rzeczy dowiedzieć o których nie miałem
pojęcia. Ale nie będę zdradzał szczegółów, bo może Paula będzie chciała tę sesję pokazać kiedyś
gdzieś w Polsce :)

- Mariusz Kędziora, Microsoft Polska

I ten dzień właśnie nadszedł. Już 1 lutego 2010 20:00 społeczność IT w Polsce będzie miała okazję
wziąć udział w polskiej premierze sesji Pauli: Techniki hakerskie użyteczne dla administratora IT.
Nie zwlekaj! Zarejestruj się już teraz!

Po sesji planowana jest debata na poniższe tematy:

• Czy Administrator powinien mieć pojęcie o bezpieczeństwie?
• Social Networking – dlaczego udostępniamy swoją tożsamość w sieci i co się z tym wiąże?

Udział w sesji wymaga wcześniejszej rejestracji i jest darmowy. Ilość miejsc ograniczona!

************************************
news ochoczo zamieszczam na prośbę noisa. od siebie dodam, że Paulinka jest ewenementem na polskiej scenie IT - młoda, ładna, ambitna i świetna technicznie - trudno znaleźć drugą taką ^^’ a to znaczy, że obejrzeć trzeba koniecznie! jak tylko dostane owego linka

eN.

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

• Rejestracja i powitanie 9:00-9:30
• Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
• Przerwa 10:30-10:45
• Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
• Przerwa 11:45-12:00
• Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
• Przerwa obiadowa 13:00-13:45
• System Center Operations Manager 2007 R2 - Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
• Przerwa PLGSC 14:45-15:00
• Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx

Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:

To upewnij się, że:

• masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
• Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer Configuration\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network”)

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

W najbliższy worek będę się produkować w M$ na temat FCS.

Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak

Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie

Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx

Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5

Wszystkich serdecznie zapraszam :)

Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx

Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

pewien user zapytał mnie jak to jest z tym XP Mode - czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone - hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM - i to w dużym stopniu problem rozwiązuje.

zastanawiałem się też co się stało z Med-V - przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:

Deploy and provision

• Deploy IT-managed virtual XP environment to end users.
• Enable customization in heterogeneous desktop environments.
• Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
• Adjust Virtual PC memory allocation based on available RAM on host.
• Application provisioning based on Microsoft Active Directory® users/groups
• Assign a virtual image and define which applications are available to the user.
• Redirect web requests that require Internet Explorer 6 to the virtual XP environment.

to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V - pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM - czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.

todo:

• sprawdzić defaultowe ustawienie firewalla
• sprawdzić defaultowe ustawienie WU

eN.

Taki mały startup script do usuwania FCS-a ze stacji:

if not exist C:\UninstallFCS md C:\UninstallFCS 

rem uninstall Microsoft Forefront Client Security Antimalware Service
MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSAM.LOG 

rem uninstall Microsoft Forefront Client Security State Assessment Service
MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSSSA.LOG 

rem uninstall Microsoft Operations Manager 2005 Agent
MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:\UninstallFCS\UninstallMOM.LOG

Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.

rozumiem problem prywatności i tego, że nasze dane są przechowywane w różnych miejscach ale przez ostatnie kilka dni tyle razy ktoś zwracał na to uwagę, że zastanawiam się czy ta paranoja nie jest zdeczka przesadzona. kilka przykładów z ostatnich 24h:

• dane do karty miejskiej w ZTM. faktycznie - po co im te dane? ale czy zarejestrowanie jej powoduje, że faktycznie ktoś będzie w stanie wykorzystać… no właśnie - co? mój numer dowodu? wydaje mi się, że można go zdobyć na 1o.ooo innych sposobów. o tożsamości dużo pisze gibon i podaje tam tyle przykładów, że zastanawiam się, czy podanie firmie swoich danych czy ich nie podanie zmienia co kolwiek? rozmowa skończyła się tym, że moje dane finansowe przekazywane sa do USA
• fotki na FB. gdybym się bał o swoją tożsamość tak potwornie, to bym w ogóle nie zakładał tam konta [jak część z moich znajomych - tych “najbardziej dbających o swoje dane”]. ideą tego portalu jest wymiana informacji pomiędzy użytkownikami, i utrzymywanie jakiegoś kontaktu. nie wpisuje tam za dużo swoich danych ale czy dodanie jakiejś fotki czy wysłanie wiadomości z ‘trochę bardziej wrażliwszą informacją’ jest na prawdę niebezpieczna? jakoś nie chce mi się wierzyć, żeby działał ‘projekt FBEchelon’ i ktoś skanuje wszystkie rozmowy - kim ja niby jestem, żeby mnie ktoś konkretnie wiskał?
• no a teraz komentarze do publicznego DNS google… przecież w firmach i tak ustawiane są wewnętrzne a w domu od ISP - ten addr jest zajebisty w prostym scenariuszu: coś, gdzieś na szybko trzeba sprawdzić i nie pamięta się addr. “normalnych” serwerów - ode wieków mam w notatkach w telefonie addr kilq addr DNS właśnie na taką okazję, a teraz ich nie będę potrzebował…

reasumując - nie wiem czy ja jestem aż tak naiwny czy ludzie dookoła zaczynają paranoizować? pod ostrzałem uwag i komentarzy straciłem możliwość “zdroworozsądkowego podejścia” bo autentycznie zaczynam się bać - a strach prowadzi do paranoi. czy ktoś ma jakiś przykład [choćby z drugiej ręki] wykorzystania np. nr-u dowodu osobistego? gdzie jest środek ciężkości? czy mam zrezygnować z kart płatniczych [bo przecież wiedzą co, gdzie i kiedy qpuję - zresztą dla tego często korzystam z bankomatów q:], czy mam wyrobić fałszywy dowód i zacząć rejestrować się na fałszywych danych?
co z ogólnie rozumianym SSO [takim życiowym - np. jedna karta do kilq systemów, openIdentity i inne wynalazki?]? czyż nie chcemy ułatwiać sobie życia? aby to było możliwe *musi* istnieć jakieś ID powiązane z innymi ID w stałej relacji i zawsze na końcu wiąże się to z jakimiś danymi.

grrrr… nie dość, że ostatnio generalnie się zgubiłem to jeszcze wpadnę w paranoję q: może warto przeprowadzić się do Afryki albo Ameryki Południowej… albo zaginąć w tłumie w Indiach - tam nie ma kontroli urodzeń, można żyć bez dowodów i mieć wymyśloną tożsamość. czy ceną za wygodne życie nie jest *zaufanie* do instytucji z których się korzysta? [ot choćby, że jak dzwonię po taxi to wiedzą kto dzwoni i gdzie jeździłem - niebezpieczne? dla mnie po prostu wygodne, bo oszczędza mi każdorazowego przedstawiania się, skąd jadę etc.]

eN.

Ostatnio dużo sie zmienia w świecie zaufanych wystawców certyfikatów. Najpierw GoDaddy przepuścił ofensywę na pozycje, na których okopały się Thawte, Verisign czy Equifax, wypuszczając najprostsze zaufane certyfikaty za 50$ rocznie (a nie jak inni >150$). Po jakimś czasie ceny spadły nawet < 30$ rocznie, co skutecznie wykosiło konkurencje dla najtańszych certyfikatów. Odstraszać jedynie może niezbyt “poważna” nazwa wystawcy.

Ale to nie wszystko - 22 sierpnia Microsoft do listy zaufanych urzędów certyfikacji dopuścił StarCom. Oznacza to, że wszystkie wersje Windows 2008 R2 oraz Windows 7 mają już wbudowanego tego wystawcę. A starsze systemy operacyjne automatycznie dostają aktualizacje za pomocą Windows Update.

Co nam daje StarCom? Darmowe certyfikaty poziomu 1. Zaufane przez większość przeglądarek z IE, oraz także przez Google Chrome, Mozillę FireFox, czy Safari na jabłku . Niestety brakuje jeszcze wsparcia dla zaufania w Operzę, czy istnienia w domyślnych magazynach na Windows Mobile.

Oczywiście certyfikaty poziomu 1mają wady - weryfikowana jest tylko nazwa domeny wystawcy, a informacje o organizacji nie są wyświetlane przy certyfikacie.

Ale i tak lepszy certyfikat poziomu 1, niż lokalny. W szczególności, kiedy jest za darmo.

https://www.startssl.com/

Teoretycznie uruchomienie konsolki Forefront Client Security na innej maszynie niż na serwerze FCSa jest niewspierane. Jednakże jest na to sposób :) Johan Blom napisał kiedyś jak to zrobić, a ja pozwolę sobie przetłumaczyć :)

• Zainstaluj klienta FCSa na maszynie i upewnij się, że usługi forefrontowe są uruchomione
• Uruchom FCSMS.MSI z płytki instalacyjnej (jest w katalogu “server”), a następnie zignoruj wszystkie ostrzeżenia
• Z serwera FCS wyeksportuj klucz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\Config], a następnie zaimportuj go na komputer, na którym chcesz uruchamiać konsolkę
• Zatrzymaj usługę “Microsoft Forefront Client Security Management Service”
• potem w menu start Start\Programs\Microsoft ForeFront\Client Security jest działająca konsola :)
• jedna uwaga – działa tylko na systemach x86

Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec - ghostwalk. Prostsze i przyjemniejsze - zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals - w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie - do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa - chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  - The Machine SID Duplication Myth

Joanna Rutkowska popełniła bardzo ciekawy wpis na blogu Invisible Things Lab. Okazuje się, że TC można połamać… i to w miarę łatwo… Czas kupić sprzęt z TPM…

Wreszcie eMeSowi udało mi się wyprowadzić mnie z równowagi. Ogłosili opóźnienie Forefront Endpoint Protection 

Przecież to jakaś paranoja. wydają qpy w stylu WS2008R2, które nic nie wnoszą i zbierają mieszane opinie przez skopane licencjonowanie, a FCS, który nigdy nie dostał złej opinii, którego sobie chwalą wszyscy, którzy go znają zostaje olany. W dodatku FEP2010 będzie oparty o SCCM2007! Heloł! żeby to postawić razem ze Stirlingiem/FPS trzeba będzie z 8 giga pamięci (ten stoi na SCOM). I najprawdopodobniej Multihomming będzie na podstawie przenikających się Site-ów. pomijając fakt, że wdrożenie na jednym pudełku będzie strasznie bolesne (SCCM i SCOM razem? no fukkkkkin way!) Poza tym po co zmieniać pomysł, gdzie FEP (client sec) i FPS (Stirling) są połączone? w betach działało to na prawdę dobrze. Aż tak, że pokusiłbym się o postawienie jej do produkcji.

Podsumowując wpis na blogu FF rozumiem tak – przepisujemy produkt od nowa. poczekajcie rok albo i więcej. Przypomina się sytuacja z Service Managerem, który już ma prawie 3 lata obsuwy (miał być najpóźniej rok po SCOMie)

FUKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK

Jak zwykle obiecanki cacanki. Tak dla sportu przeglądałem dokumentację do Stirlinga w poszukiwaniu braków i bubli 9a takich na technecie nie brakuje ;) ) i trafiłem na coś takiego:

Upgrading or migrating Stirling

[This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]

This document describes upgrade and migration scenarios for this beta release of Stirling. Material in this document replaces the content in the topic “Upgrading or migrating Stirling” in the Stirling Deployment Guide.

The following upgrade and migration scenarios are supported:

• Upgrading FCS 1.0 clients to this release of Stirling.
• Upgrading the public Beta 2 client components to this release of Stirling. For instructions, see Upgrading Stirling client components.
• Migrating policies, groups, and bindings from the public Beta 2 version to this release of Stirling. For instructions, see Migrating Stirling policies, groups, and bindings.

The following upgrade or migration scenarios are not supported:

• Upgrading server components from the public Beta 1 or public Beta 2 version to this version of Stirling
• Upgrading client components from public Beta 1 to this version of Stirling
• Migrating from one server topology to another
• Migrating from a third-party solution to Stirling

Czyli jednym słowem – będzie można aktualizować końcówki, ale i scenariuszu in-place dla topologii serwerowej można zapomnieć. Pięknie. Po prostu pięknie! tak z czystej ciekawości chyba zrobię infrastrukturę mieszaną i zobaczę jak FCS się kłóci z FEP :D