Migrazione a Windows Server 2022 con client legacy ed Exchange 2007: guida completa, compatibilità e best practice

Guida tecnica per migrare Active Directory a Windows Server 2022 mantenendo server e client legacy e sostituendo Exchange 2007. Best practice, rischi, percorso operativo e opzioni SMTP con focus su sicurezza e compatibilità.

Indice

Compatibilità tra domain controller moderni e membri di dominio legacy

Quando si promuovono nuovi controller di dominio (DC) Windows Server 2022 e si imposta forest & domain functional level a 2012, il vincolo riguarda esclusivamente i DC: tutti i controller di dominio devono essere almeno Windows Server 2012. Questo requisito non si applica ai membri di dominio (server e client), che possono restare su versioni precedenti finché svolgono il semplice ruolo di member.

In pratica, Windows Server 2003/2008 e Windows XP/7/8.1 possono continuare ad autenticarsi tramite Kerberos/NTLM e partecipare al dominio. Il livello funzionale influisce sulle capacità dei DC (feature disponibili, criteri di sicurezza di default) ma non su quella di un endpoint di unirsi al dominio o autenticarsi. Detto questo, la convivenza non è priva di ombre: questi sistemi sono fuori supporto, non ricevono patch di sicurezza, implementano protocolli obsoleti (es. SMB1, TLS 1.0, cifrari RC4) e aumentano la superficie d’attacco.

Per mitigare i rischi senza bloccare il business, è consigliabile:

Isolare i sistemi legacy in OU dedicate e in VLAN/segmenti di rete separati, con ACL e firewall restrittivi (allowlist dei soli DC e server applicativi necessari).
Abilitare la telemetria e l’auditing NTLM, SMB e Kerberos per individuare rapidamente dipendenze da protocolli deprecati.
Centralizzare i servizi “di frontiera” (file/print, SMTP relay, proxy) su server intermedi “ponte” aggiornati, riducendo l’esposizione diretta dei DC 2022 ai client più vecchi.

Impatto delle moderne impostazioni di sicurezza dei DC 2022

I DC Windows Server 2022 introducono impostazioni più rigide per impostazione predefinita, ad es. canale sicuro Netlogon firmato e RPC sealed, enforcement rafforzato su Kerberos, SMB signing obbligatoria verso i DC e disabilitazione di algoritmi deboli. Questo è un bene per la sicurezza, ma può far emergere incompatibilità che nei vecchi ambienti passavano inosservate.

Raccomandazioni operative:

Auditing prima di imporre: attivare criteri “Audit” per LDAP signing, NTLM e SMB, leggere i log per almeno 1–2 cicli di business e solo dopo passare a “Enforce”.
Kerberos AES‑256: verificare che gli account usino cifrari moderni. Dove compatibile, impostare i tipi di cifratura Kerberos su AES‑256.
Feature dipendenti dal livello funzionale: alcune funzionalità “moderne” (es. gruppi Protected Users e Authentication Policies/Silos) richiedono almeno il livello funzionale 2012 R2. Se iniziate da 2012 per compatibilità, pianificate un innalzamento successivo quando i sistemi legacy saranno dismessi.

Exchange 2007 e spostamento dei flussi SMTP

Exchange 2007 non è supportato in ambienti con DC Windows Server 2022 né con livelli funzionali superiori a 2008. In scenari reali, questo significa che la presenza di Exchange 2007 rappresenta un blocco tecnico all’introduzione/innalzamento dei DC: va disinstallato o comunque completamente rimosso dalla topologia di produzione prima di finalizzare il passaggio.

Se Exchange era usato principalmente come SMTP relay per applicazioni e device (scanner, applicativi LOB), potete:

Trasferire i connettori su Exchange 2013 come soluzione transitoria, consapevoli che la versione è fuori supporto e dovrà essere sostituita a breve.
Migrare direttamente a Exchange 2016 CU23 o Exchange 2019 CU12 (o successivi), le uniche release on‑prem compatibili con DC 2022 secondo la matrice di supporto Microsoft.
Valutare Exchange Online per i flussi SMTP (Direct Send o SMTP Auth Submission) e una migrazione ibrida o cutover. È la strada con la miglior prospettiva di sicurezza e sostenibilità.

Alternative per l’SMTP relay senza Exchange

Se non desiderate mantenere Exchange on‑prem, potete usare:

Edge Transport su Exchange 2019 (ruolo dedicato e isolato in DMZ).
SMTP virtual server su IIS (ruolo “SMTP Server” di Windows), limitato e da usare con grande prudenza e hardening.
Relay dedicato su Linux (Postfix) con autenticazione, rate‑limit e TLS obbligatorio verso l’upstream (Exchange Online o smart host).

In ogni caso definite liste IP sorgente consentite, obbligate TLS nei tratti opportuni e tracciate in log ogni invio per semplificare audit e incident response.

Percorso operativo di migrazione consigliato

Di seguito un percorso collaudato per arrivare a DC Windows Server 2022 e livelli funzionali 2012, mantenendo in esercizio i membri di dominio legacy e togliendo Exchange 2007 senza downtime superfluo.

Verifiche preliminari

Salute di AD: eseguire repadmin /replsummary e dcdiag /v; correggere errori di replica, DNS e SYSVOL prima di proseguire.
Backup: creare un backup System State recente di almeno un DC per dominio.
FRS → DFSR: se la replica di SYSVOL usa ancora FRS, completare la migrazione a DFSR prima di alzare i livelli funzionali.
Inventario: mappare server/applicazioni legacy che dipendono da SMB1, NTLM o TLS 1.0, e pianificare mitigazioni.

Estensione dello schema

Montare i supporti di Windows Server 2022 su un DC con ruolo Schema Master.
Eseguire: adprep /forestprep adprep /domainprep
Verificare l’avanzamento in schupgr e nei log (%systemroot%\debug\adprep\logs).

Introduzione dei nuovi DC 2022

Installare il primo server 2022, assegnare IP fisso, configurare DNS primario verso DC esistente.
Promuoverlo a DC del dominio (Add‑ADDSDomainController o Server Manager).
Verificare la replica completa (repadmin /showrepl), attendere la convergenza di SYSVOL/DFSR.
Aggiungere ulteriori DC 2022 nelle sedi necessarie; distribuire ruoli DNS/GC.

Transizione FSMO e dismissione dei DC precedenti

Trasferire i ruoli FSMO al nuovo DC 2022 (GUI o PowerShell): Move-ADDirectoryServerOperationMasterRole -Identity DC2022-01 ` -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster
Demotere i DC 2012 R2 e precedenti con dcpromo moderno (Server Manager) o PowerShell. Se necessario, procedere a metadata cleanup: Remove-ADDomainController -Identity DC-OLD -MetadataCleanup

Innalzamento dei livelli funzionali

Una volta che i soli DC rimasti sono Windows Server 2012 o superiori, alzare prima il livello del dominio e poi della foresta a 2012:

Set-ADDomainMode -Identity "contoso.local" -DomainMode Windows2012Domain
Set-ADForestMode -Identity "contoso.local" -ForestMode Windows2012Forest

Post‑migrazione

Rimozione di Exchange 2007: disinstallare completamente i ruoli, rimuovere connettori, record Autodiscover, servizi correlati.
SMTP: ricreare i connettori su Exchange 2013 (se transitorio) o, preferibilmente, su Exchange 2016/2019 o in cloud.
Legacy lifecycle: pianificare l’aggiornamento o la dismissione di Server 2003/2008 e client XP/7/8.1.

Strategie di convivenza sicura con sistemi legacy

Segmentazione e controllo degli accessi

Creare una OU Legacy con GPO dedicate e applicare “deny by default” a livello di rete (FW di host e di perimetro).
Consentire traffico solo verso DC, file server e relay SMTP autorizzati. Bloccare ogni uscita Internet diretta dai sistemi legacy.

Gestione di SMB1

Evitate di riabilitare SMB1 sui DC o file server centrali. Se proprio necessario per un’applicazione datata, predisponete un file server di transizione isolato, con SMB1 attivo solo lato server, auditing e firma digitale obbligatoria. Non esponete mai SMB1 in reti non fidate.

Restrizione di NTLM

Usate i criteri “Network security: Restrict NTLM” per monitorare e ridurre l’uso di NTLM a favore di Kerberos:

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
- Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts
- Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit all
- Network security: LAN Manager authentication level = Send NTLMv2 response only. Refuse LM & NTLM

LDAP signing e channel binding

Abilitate prima l’audit, poi l’obbligo di LDAP signing e channel binding. Verificate che applicazioni legacy non usino LDAP in chiaro. Dove serve, migrare a LDAPS/TLS con certificati aggiornati.

Modernizzazione graduale dei cifrari

Disattivate RC4 e 3DES dove possibile; privilegiate AES‑256 per Kerberos.
Pianificate la disattivazione di TLS 1.0/1.1 su DC e server applicativi, con analisi preventiva dell’impatto.

Check‑list operative

Prima del cambio

Replica AD sana (repadmin /replsummary senza errori critici).
SYSVOL su DFSR.
Backup System State recente e test di ripristino in laboratorio.
Inventario applicazioni che toccano AD (LDAP, Kerberos, NTLM) e valutazione compatibilità.
SMTP flow mappati (mittenti, IP sorgente, domini, autenticazione, crittografia, smart host).

Durante il cambio

Promozione graduale dei DC 2022, un sito per volta.
Monitoraggio eventi critici (Directory‑Services, DNS‑Server, DFSR, Netlogon, Kerberos).
Test funzionali: join al dominio, login interattivo, GPO, stampa, file share, applicazioni chiave.

Dopo il cambio

Trasferimento FSMO, verifica netdom query fsmo.
Demozione sicura dei DC legacy e pulizia metadati.
Innalzamento del livello funzionale a 2012.
Hardening progressivo (LDAP signing, NTLM restriction, TLS moderni).
Rimozione di Exchange 2007 e ricreazione dei connettori SMTP sulla piattaforma scelta.

Comandi e script utili

Inventario dei sistemi legacy dal catalogo AD

Get-ADComputer -Filter * -Properties OperatingSystem,OperatingSystemVersion |
  Where-Object { $_.OperatingSystem -match 'Windows XP|Windows 7|Windows 8.1|2003|2008' } |
  Select-Object Name,OperatingSystem,OperatingSystemVersion |
  Sort-Object OperatingSystem, Name

Verifica rapida dei ruoli FSMO

netdom query fsmo

Controllo replica e SYSVOL

repadmin /replsummary
repadmin /showrepl
dfsrdiag ReplicationState

Impostazione tipi di cifratura Kerberos su un account

Set-ADAccountControl -Identity utente.o.servizio `
  -KerberosEncryptionType AES128,AES256

Vantaggi e possibili criticità

Aspetti positivi	Aspetti da presidiare
Supporto esteso per Windows Server 2022 fino al 14 ottobre 2031, con patch di sicurezza e correttivi.	Sistemi legacy non più patchati, maggiore esposizione a minacce e attacchi opportunistici.
Funzionalità moderne di AD: Kerberos con AES‑256, canale sicuro Netlogon firmato/RPC sealed di default, prerequisiti per abilitare funzionalità avanzate a livelli funzionali superiori.	Applicazioni datate possono richiedere SMB1, TLS 1.0 o cifrari obsoleti (RC4), causando attriti con i criteri di hardening.
Replica SYSVOL con DFSR, più affidabile e monitorabile rispetto a FRS.	Exchange 2007 e 2013 da sostituire; i connettori SMTP vanno riprogettati.
Migliori prestazioni e scalabilità dei DC 2022 (DNS, logon, replica, gestione GPO) rispetto ai DC legacy.	Necessità di test capillari su GPO, script e servizi che dipendono da FRS o da protocolli deprecati.

Piano di test e validazione

Ambiente pilota

Clonare in laboratorio (o in un tenant isolato) lo schema di AD, una copia delle GPO e un sottoinsieme rappresentativo dei sistemi legacy.
Verificare scenari di login, accesso file, stampa, applicazioni LOB, job batch/scheduled tasks.

Criteri di uscita dal pilota

Zero errori critici su dcdiag e repadmin per 72 ore.
Assenza di eventi 4776/4768 anomali su DC (NTLM/Kerberos) e assenza di 5719 Netlogon.
Flussi SMTP migrati e monitorati, code vuote, consegna end‑to‑end verificata.

Gestione del rischio e piano di roll‑back

Punto di non ritorno: l’innalzamento del livello funzionale non è reversibile. Effettuare uno snapshot/backup completo dei DC prima dell’operazione.
Roll‑back DC: mantenere un DC legacy spento e isolato solo come ultima risorsa, documentando i rischi di USN rollback; preferire sempre restore da backup.
SMTP: in caso di problemi sui nuovi relay, predisporre una rotta alternativa temporanea (smart host in cloud o Edge Transport secondario) con throttling attivo.

Domande frequenti

È obbligatorio dismettere tutti i server 2008 prima di alzare il livello funzionale?

No: il requisito riguarda soltanto i controller di dominio. I membri di dominio possono restare su 2003/2008/XP/7/8.1, purché accettiate i rischi di sicurezza e li isoliate adeguatamente.

Posso tenere Exchange 2007 solo come relay SMTP interno?

Non è consigliato né supportato in ambienti con DC Windows Server 2022. Spostate i connettori su Exchange 2016/2019 o su Exchange Online, oppure usate un relay dedicato ben protetto.

Quando ha senso passare a livello funzionale 2012 R2 o superiore?

Non appena i rischi di compatibilità sono sotto controllo. Livelli più alti abilitano funzionalità avanzate (ad es. Authentication Policies/Silos, Protected Users) utili per contenere movimenti laterali e furti di credenziali.

Qual è il vantaggio immediato dei DC 2022 anche restando a livello 2012?

Portate nel dominio una base sicura e moderna: stack Kerberos aggiornato, Netlogon e RPC più robusti, SMB signing verso i DC, DNS con performance migliori, DFSR per SYSVOL. Inoltre estendete il ciclo di vita della vostra infrastruttura fino al 2031.

Riepilogo esecutivo

Potete aggiornare i DC a Windows Server 2022 e alzare i livelli funzionali a 2012 senza interrompere i membri di dominio legacy, purché non siano DC.
Exchange 2007 va rimosso prima di introdurre/innalzare i DC 2022; per on‑prem puntate a Exchange 2019 CU12+ o valutate il cloud.
Seguite le best practice: migrazione SYSVOL a DFSR, adprep, verifica replica, hardening progressivo e test approfonditi.
Riducete la superficie d’attacco dei sistemi legacy con isolamento, auditing e relay intermedi; pianificate la loro sostituzione.

Appendice: esempi di criteri GPO utili

Obiettivo	Impostazione	Suggerimento di adozione
Ridurre NTLM	Restrict NTLM (audit → block), LMCompatibilityLevel = NTLMv2 only	Fase 1: Audit 30 giorni. Fase 2: Block verso server non autorizzati.
Rafforzare LDAP	LDAP signing & channel binding	Audit su DC & applicazioni; poi Require.
SMB sicuro	Digitally sign communications (always) sui DC	Obbligatorio sui DC; test su file server.
Cifrari moderni	Disabilitare RC4 / TLS 1.0–1.1; preferire AES‑256 e TLS 1.2+	Rollout a ondate, con fallback documentato per applicazioni critiche.

Conclusione
L’allineamento dei DC a Windows Server 2022 con livello funzionale 2012 è un passo concreto per modernizzare Active Directory senza interrompere i sistemi legacy. La chiave è gestire la convivenza: audit prima dell’enforce, isolamento dei vecchi sistemi, migrazione rapida dei ruoli bloccanti (Exchange 2007) e una strategia SMTP ordinata e tracciabile. Così ottenete benefici immediati in sicurezza, affidabilità e ciclo di vita, mentre preparate il terreno per innalzare ulteriormente i livelli funzionali e, quando possibile, spostare i carichi verso piattaforme più sicure e manutenibili.

Nota pratica: pianificate una revisione trimestrale dei log NTLM/LDAP/SMB e un service improvement plan per eliminare gradualmente le dipendenze legacy. Ogni riduzione di technical debt oggi evita incidenti domani.