Fine del supporto per Windows Server 2016 e 2019: date, ESU, rischi e strategie di upgrade

Windows Server 2016 e 2019 stanno entrando nelle rispettive fasi finali di supporto. In questa guida trovi date ufficiali, impatti su patch e costi, cosa comportano gli ESU, oltre a una strategia operativa per migrare, restare in sicurezza temporaneamente o stimare budget e tempi senza fermare i servizi.

Indice

Panoramica e date ufficiali

Microsoft gestisce il ciclo di vita di Windows Server con due fasi: Mainstream (nuove funzionalità, miglioramenti e correzioni) ed Extended (solo patch di sicurezza). Le scadenze per le versioni più diffuse negli ambienti enterprise sono le seguenti:

Prodotto	Fine supporto Mainstream	Fine supporto Extended	Cosa significa
Windows Server 2016	11 gennaio 2022	12 gennaio 2027	Fino al 12 gennaio 2027 Microsoft rilascia patch di sicurezza gratuite.
Windows Server 2019	9 gennaio 2024	9 gennaio 2029	Fino al 9 gennaio 2029 Microsoft rilascia patch di sicurezza gratuite.

Mainstream vs Extended: cosa cambia nella pratica

Mainstream: include nuove funzionalità, miglioramenti non di sicurezza, richieste di change e possibilità più ampie di supporto tecnico e garanzie.
Extended: focus su sicurezza (Patch Tuesday e out-of-band critiche). Niente nuove feature; il supporto tecnico esiste ma è più mirato e spesso a pagamento.

Implicazioni pratiche

Prima della data di “Extended End”

Riceverai normalmente aggiornamenti di sicurezza tramite Windows Update o WSUS senza costi aggiuntivi.
Puoi aprire ticket di supporto a pagamento o coperti da Software Assurance.

Dopo la data di “Extended End”

Le patch non verranno più rese disponibili pubblicamente.
Per continuare a ricevere correzioni di sicurezza occorrono programmi a pagamento, tipicamente denominati Extended Security Updates (ESU) o contratti “Custom Support Agreement”.

Costi indicativi del supporto esteso (ESU) e modelli

Microsoft non pubblica tariffari fissi; prezzi e modelli cambiano in funzione di:

tipologia di licenza (per core, per VM, contratti SPLA, CSP, ecc.);
volume e durata dell’impegno;
eventuale migrazione ad Azure o gestione via Azure Arc, che spesso include gli ESU a un costo ridotto o nullo.

Storicamente (es. Windows Server 2012 R2) la struttura on‑premises ha seguito una progressione annuale:

Anno di ESU	Costo indicativo*
1º anno	~75 % del prezzo della licenza Software Assurance corrente
2º anno	~100 %
3º anno	~125 %

*Solo a scopo orientativo; la politica per Windows Server 2016/2019 verrà definita più vicino alla scadenza.

In pratica

Contatta il Partner di licenza o il team Account Manager Microsoft per un preventivo preciso.
Valuta l’upgrade a Windows Server 2022 (o alla prossima LTS) per ottenere altri 10 anni di patch senza costi ESU.
Se hai carichi su VMware/Hyper‑V, verifica i requisiti hardware e l’eventuale compatibilità applicativa prima di pianificare l’aggiornamento.

Matrice decisionale: ESU o upgrade?

La scelta corretta dipende dal mix di rischio, budget, complessità applicativa e orizzonte temporale. La tabella seguente riassume gli scenari tipici:

Scenario	Indicatore	Scelta consigliata	Note operative
Applicazione mission‑critical con vendor che certifica solo 2016/2019	Alto rischio di regressione	ESU a breve + piano di migrazione concordato con vendor	Blocca budget per ESU (1‑2 anni), apri tavolo tecnico per certificazione su 2022.
Servizi standard (AD DS, file/print, Web IIS generico)	Basso rischio compatibilità	Upgrade a Windows Server 2022	Valuta in‑place se pulito; preferisci migrazione laterale se server “storico”.
Carico legacy che verrà dismesso	Fine vita in < 12 mesi	Hardening + segmentazione + eventuale ESU	Isola in rete, applica EDR, backup immutable, accesso minimo.
Server on‑prem con burst in cloud	Uso ibrido	Azure Arc + governance patch	Arc semplifica l’adesione a ESU quando disponibili e il patching centralizzato.

Passi consigliati: dal censimento all’esecuzione

Inventario: mappa tutte le istanze 2016/2019 in produzione, test e DR.
Valutazione rischi: classifica i server critici e le dipendenze applicative.
Roadmap: decidi tra upgrade in‑place, migrazione parallela o lift‑and‑shift verso Azure.
Budget: confronta costo ESU vs costo upgrade (licenze + progetti).
Pilot: esegui un progetto pilota su un carico non mission‑critical.
Esecuzione: pianifica finestre di downtime, backup completi e rollback.

Modello di inventario (campi minimi)

Hostname	Ruolo/Applicazione	Versione OS	Ambiente	Criticità	Dipendenze	Proprietario servizio	Piano (Upgrade/ESU)	Data target
SRV‑APP‑01	ERP	WS 2016	Produzione	Alta	SQL, AD, SMTP	IT Operations	ESU → Migrazione	Q2
SRV‑WEB‑02	IIS	WS 2019	Test	Media	AD, DNS	Digital	Upgrade diretto	Q1

Upgrade: in‑place, migrazione laterale o re‑platform

In‑place

Pro: veloce, meno attività di rete/identity, rollback semplice con snapshot.
Contro: trascina “storia” del server (driver, agent, junk), non sempre supportato da vendor.
Quando: ruoli standard, server “pulito”, virtualizzato con snapshot/backup affidabile.

Migrazione laterale (parallel build)

Pro: ambienti più “puliti”, possibilità di rifare hardening e naming standard.
Contro: cutover e test più complessi, doppio consumo di risorse nel periodo di coesistenza.
Quando: applicazioni complesse, server “storici”, consolidate ruoli.

Re‑platform / Lift‑and‑shift

Pro: opportunità di scalare elasticamente, modernizzare backup, monitoraggio e DR.
Contro: dipendenze di rete/storage, costi cloud ricorrenti, necessità di re‑test completi.
Quando: roadmap cloud, necessità di capacità rapida, data center capacity‑bound.

Compatibilità applicativa: checklist rapida

Versioni .NET, Visual C++ runtime e Internet Explorer/Edge WebView dipendenti dall’app.
Prerequisiti di SQL Server/Oracle e driver ODBC/OLEDB.
Componenti IIS (versione, moduli, pipeline), URL Rewrite, certificati.
Driver HBA/NIC/RAID per host fisici; per VM, versioni tools (VMware Tools/Integration Services).
Agent: backup, antivirus/EDR, monitoraggio (SCOM, Zabbix, Prometheus collector), log shipping.
Dipendenze di dominio: livelli funzionali AD, policy GPO, deleghe SPN/Kerberos, LDAPs/LDAPS.
Licensing applicativi legati all’hardware (MAC/CPU-ID); rivedi processi di trasferimento licenza.

Se rimandi l’upgrade: come ridurre il rischio

In alcuni casi può essere necessario restare su 2016/2019 oltre la scadenza. Adotta misure compensative:

Segmentazione: VLAN dedicate, firewall L3/L7, Zero Trust per accesso amministrativo.
EDR/Antimalware: policy aggressive, sandboxing allegati, blocco script non firmati.
Hardening: baseline CIS/SCM, rimozione ruoli inutili, chiusura porte, LAPS/Azure AD LAPS.
Patch di terze parti: aggiorna framework, runtime, Java, browser engine, agent.
Backup e recovery: immutable storage, test periodici di restore, 3‑2‑1, runbook DR.
Monitoring: alert su exploit noti, honeypot interno, auditing avanzato (Sysmon).
Accesso: MFA per RDP bastion, Just‑In‑Time (JIT) e Just‑Enough‑Administration (JEA).

Automazione: comandi e script utili

Alcuni snippet PowerShell per accelerare inventario e valutazioni (adatta ai tuoi standard di sicurezza):

Elenco server Windows Server 2016/2019 da Active Directory

# Richiede RSAT e permessi di lettura in AD
Import-Module ActiveDirectory

\$servers = Get-ADComputer -LDAPFilter '(operatingSystem=Windows Server\*)' -Properties OperatingSystem,OperatingSystemVersion,LastLogonDate |
Where-Object {
\$.OperatingSystem -match '2016' -or \$.OperatingSystem -match '2019'
} | Select-Object Name,OperatingSystem,OperatingSystemVersion,LastLogonDate

\$servers | Export-Csv -NoTypeInformation -Path .\inventario-ws2016-2019.csv

Rilevare ruoli e feature installate

# Esegui localmente o via Invoke-Command
Get-WindowsFeature | Where-Object Installed | Sort-Object DisplayName | Format-Table DisplayName, Name, Installed

Verificare versione OS e build

(Get-CimInstance Win32_OperatingSystem) | Select-Object Caption, Version, BuildNumber, OSArchitecture

Elenco software installato (base)

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*,
                 HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* `
| Where-Object DisplayName `
| Select-Object DisplayName, DisplayVersion, Publisher, InstallDate `
| Sort-Object DisplayName

Controllo configurazione Windows Update / WSUS

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"

Mappa semplice delle scadenze (esempio didattico)

$eol = @{
  "Windows Server 2016" = [datetime]"2027-01-12"
  "Windows Server 2019" = [datetime]"2029-01-09"
}

\$os = (Get-CimInstance Win32\_OperatingSystem).Caption
if (\$eol.ContainsKey(\$os)) {
\$days = (\$eol\[\$os] - (Get-Date)).Days
"{0} - giorni alla fine del supporto esteso: {1}" -f \$os, \$days
} else {
"Sistema non in mappa EOL: \$os"
}

Virtualizzazione e infrastruttura

Hyper‑V/VMware: verifica la compatibilità delle versioni di host e tools con Windows Server 2022; aggiorna template/Golden Image e policy di sicurezza (Secure Boot, vTPM, shielded VMs quando possibile).
Storage: controlla firmware dei controller, versioni SMB, deduplica, replica e snapshot coerenti con l’OS target.
Rete: revisione ACL, load balancer, NAT, WAF e cipher suite TLS (deprecazione di RC4/3DES; abilita TLS 1.2/1.3 ove supportato).

Opzioni ibride e Azure

Azure Arc: onboarding dei server on‑prem/altro cloud per governance patch, policy e, al bisogno, adesione agli ESU.
Azure Migrate: assessment di dipendenze, dirsize, prestazioni, right‑sizing e proof‑of‑concept senza impatto.
Update Management: orchestrazione patch multi‑OS con finestre di manutenzione e reportistica centralizzata.
Backup: vault con immutabilità, soft‑delete e alerting; prova i ripristini periodicamente.

Budget: confronto ESU vs upgrade

Un modello di valutazione semplice ma efficace:

ESU = (Costo per core/VM × numero di server × anni) + effort di gestione (test, change, audit) + rischio residuo.
Upgrade = (Licenze × core/VM) + progetto (ore interne/esterne) + nuovi requisiti hardware + test e downtime programmato.

Includi sempre benefici collaterali dell’upgrade: riduzione superficie d’attacco, feature nuove (SMB over QUIC, TLS 1.3, performance stack), supporto vendor, e minori costi di audit e di incident response nel medio periodo.

Pilot e cutover: come organizzarsi

Seleziona 1‑2 carichi moderati ma rappresentativi (es. un IIS non mission‑critical e un file server).
Definisci criteri di successo: tempi di cutover, latenza, throughput, errori applicativi, esperienze utente.
Replicazione del traffico: usa ambienti di test con dataset realistici ma sanitizzati.
Rollback: snapshot/backup pre‑upgrade, runbook di ritorno, finestra di decisione (go/no‑go).

Governance, audit e compliance

Policy: documenta la strategia EOL ed ESU nel registro rischi; approvazione del risk owner.
Audit: conserva report patching, vulnerabilità e decisioni di risk acceptance per controlli interni/esterni.
Privacy: per sistemi che trattano dati personali, valuta misure compensative in ottica minimizzazione del rischio.

FAQ

Posso continuare a usare WS 2016/2019 senza ESU dopo la scadenza?

Sì, tecnicamente il sistema funziona. Tuttavia resterai esposto a vulnerabilità non patchate. Per ambienti con dati o servizi critici è fortemente sconsigliato.

Gli ESU includono nuove funzionalità?

No. Gli ESU forniscono patch di sicurezza critiche/importanti. Nessun miglioramento non di sicurezza.

In Azure posso ottenere ESU a condizioni migliori?

In scenari ibridi e in alcune offerte gestite gli ESU possono essere semplificati o inclusi. Valuta migrazione o gestione tramite Azure Arc per ridurre costi e complessità.

L’upgrade in‑place è supportato per qualsiasi ruolo?

Non sempre. Per ruoli complessi (ad es. Cluster con File Server SOFS, applicazioni con driver kernel) è spesso preferibile un parallel build con migrazione controllata.

Come gestisco i server “zombie” o fuori inventario?

Attiva discovery di rete/AD, confronta CMDB, cerca oggetti AD inattivi (>180 giorni), verifica host ESXi/Hyper‑V per VM spente ma presenti. Valuta la dismissione.

Errori da evitare

Rimandare la decisione: avvicinandosi alla scadenza, il rischio aumenta e i costi di mitigazione salgono.
Upgrade senza test: anche ruoli standard possono rompere integrazioni (es. ciphers TLS o SMB signing).
Niente rollback: senza snapshot/backup e piano scritto aumentano tempi di fermo in caso di problemi.
Ignorare i tool di gestione: senza orchestrazione patch/monitoring l’effort operativo esplode.
Trascurare le dipendenze: DNS, certificati, firewall, GPO e agent possono bloccare l’avvio del servizio post‑upgrade.

KPI per misurare l’avanzamento

% di server 2016/2019 con patch aggiornate (pre‑EOL) o coperti da ESU (post‑EOL).
% di carichi critici migrati a Windows Server 2022.
Numero di incident di sicurezza post‑patch per mese.
Lead time medio per change di upgrade.
Coverage di backup verificato (prove di restore riuscite negli ultimi 90 giorni).

Checklist di esecuzione (quick‑win)

Inventario completo validato con i proprietari applicativi.
Tabella decisionale per ogni server (ESU, upgrade, dismissione) con approvazione.
Piano di test e criteri di successo per ogni migrazione.
Finestre di manutenzione concordate con il business.
Backup e snapshot pronti e verificati (test di ripristino recente).
Runbook di rollback e di comunicazione incidente.
Baseline hardening applicata e verificata.
Monitoraggio e alert aggiornati (pre/post change).

Esempio di timeline progetto (singolo servizio)

Settimana	Attività	Deliverable	Owner
1	Assessment & inventario dettagliato	Lista server e dipendenze	IT Ops
2	Design migrazione / piano test	Documento HLD/LLD	Architect
3–4	Build ambiente target + hardening	Server WS 2022 pronti	Engineering
5	Pilot & performance baseline	Report esiti pilot	QA
6	Cutover controllato	Servizio in produzione	IT Ops
7	Ottimizzazioni & decommission	Vecchio server spento/dismesso	IT Ops

Riepilogo operativo

Conferma l’inventario 2016/2019 e la criticità dei carichi.
Se un’app resterà oltre la scadenza, prenota budget ESU e prepara misure compensative di sicurezza.
Per tutto il resto, pianifica upgrade a Windows Server 2022 con pilot e rollback.
Valuta governance patch centralizzata (WSUS/ConfigMgr/Azure) e metriche di avanzamento.

Sintesi in una frase

Hai patch gratuite fino al 12 gennaio 2027 (WS 2016) e al 9 gennaio 2029 (WS 2019); dopo quelle date occorrerà acquistare Extended Security Updates o migrare a una versione più recente.

Domande di controllo per iniziare subito

Quanti server 2016/2019 ho, dove sono e chi li usa?
Quali applicazioni sono certificate per 2022 oggi?
Quale percorso scelgo per ciascun server (ESU, upgrade, dismissione) e con quali date?
Come riduco il rischio mentre preparo la migrazione (segmentazione, EDR, hardening)?
Qual è l’impatto di budget nei prossimi 12‑24 mesi?

Nota finale: i dettagli economici degli ESU variano per contratto, canale e modalità di gestione (on‑prem, ibrido, cloud). Per evitare sorprese, richiedi un preventivo formale e valuta le opzioni di modernizzazione che spesso risultano più sostenibili già dal secondo anno.