Migracja kontrolera domeny (DC) z Windows Server 2016 do Windows Server 2022 to proces zastąpienia starego serwera AD DS nową maszyną z Windows Server 2022, bez utraty danych katalogowych i przy minimalnej przerwie w działaniu usług domenowych. Microsoft zaleca metodę clean install (czysta instalacja + awans nowego DC + demontaż starego), a nie uaktualnienie in-place — takie podejście daje pełen dostęp do nowych funkcji bezpieczeństwa i wydajności. Windows Server 2016 traci rozszerzone wsparcie 12 stycznia 2027 roku — po tej dacie serwer nie otrzyma już żadnych poprawek zabezpieczeń, więc migracja w 2026 roku jest ostatnim bezpiecznym momentem na działanie z wyprzedzeniem.
W skrócie
- EOL Windows Server 2016: 12 stycznia 2027 r. (koniec rozszerzonego wsparcia) — po tej dacie brak poprawek bezpieczeństwa
- Microsoft zaleca czystą instalację Windows Server 2022 + promocję na nowy DC — nie in-place upgrade dla kontrolerów domeny
- Poziom funkcjonalności lasu i domeny pozostaje na Windows Server 2016 (Microsoft nie dodał nowego FFL/DFL od 2016) — to normalne i nie wymaga podnoszenia
- Windows Server 2022 wnosi: TLS 1.3, szyfrowanie SMB AES-256, Secured-core, DNS-over-HTTPS, lepszą wydajność UDP/TCP
- Cały proces dla pojedynczego DC zajmuje 2–4 godziny (łącznie z replikacją i weryfikacją); dla środowisk z wieloma DC — rozłóż na kilka dni
- Licencja: Windows Server 2022 wymaga osobnego klucza — licencja z 2016 nie przechodzi automatycznie
Dlaczego migracja z Windows Server 2016 na 2022 jest konieczna
Windows Server 2016 wszedł do głównego nurtu wsparcia w październiku 2016 roku. Jego wsparcie główne (mainstream support) zakończyło się 11 stycznia 2022 r., a rozszerzone wsparcie (extended support) wygasa 12 stycznia 2027 r. Po tej dacie Microsoft nie będzie wydawał:
- comiesięcznych poprawek bezpieczeństwa (Patch Tuesday)
- aktualizacji krytycznych dla luk typu zero-day
- żadnych poprawek stabilności ani zgodności
Serwer działający po EOL to poważne ryzyko zgodności i bezpieczeństwa — dla organizacji podlegających regulacjom (RODO, ISO 27001, KNF) może oznaczać utratę zgodności audytowej. W przeciwieństwie do Windows Server 2012 R2, dla Windows Server 2016 nie ogłoszono programu Extended Security Updates (ESU), który przedłużyłby dostęp do łatek — jedyną drogą naprzód jest migracja na wspieraną wersję.
Co tracisz, zostając na Windows Server 2016
| Obszar | Windows Server 2016 | Windows Server 2022 |
|---|---|---|
| Wsparcie bezpieczeństwa | Kończy się 12.01.2027 | Do 13.10.2031 (extended) |
| TLS | TLS 1.2 (domyślnie) | TLS 1.3 (domyślnie) |
| Szyfrowanie SMB | AES-128 | AES-256-GCM / AES-256-CCM |
| DNS | Standardowy DNS | DNS-over-HTTPS (DoH) |
| Secured-core | Brak | ✅ Sprzętowe root-of-trust, TPM 2.0, HVCI |
| Wydajność sieci | Standardowa | UDP Segmentation Offload, TCP HyStart++, RACK |
| Replikacja AD | Standardowa | Szybsza kompresja, lepszy stos wydajnościowy |
| Obsługa kontenerów | Podstawowa | gMSA bez domenowego join hosta, mniejsze obrazy |
Wymagania wstępne przed migracją
Zanim rozpoczniesz migrację, zweryfikuj stan obecnego środowiska:
1. Sprawdź poziom funkcjonalności lasu i domeny
Windows Server 2022 wymaga minimum poziomu funkcjonalności lasu Windows Server 2008 i poziomu funkcjonalności domeny Windows Server 2008. W praktyce każda domena z Windows Server 2016 DC spełnia te wymagania — ale warto to potwierdzić:
Get-ADDomain | FL DomainMode
Get-ADForest | FL ForestMode
Ważne: Windows Server 2022 (i 2019) nie wprowadził nowego poziomu funkcjonalności. Po migracji las i domena pozostają na poziomie Windows Server 2016 — to całkowicie normalne. Nowy poziom (Windows Server 2025) pojawił się dopiero w najnowszej wersji; podnoszenie go jest opcjonalne.
2. Zweryfikuj replikację SYSVOL — DFSR jest wymagany
Windows Server 2016 był ostatnią wersją wspierającą stary mechanizm FRS (File Replication Service) dla SYSVOL. Jeśli twoja domena nadal używa FRS (np. po migracji z Windows Server 2008/2012 sprzed lat), musisz przejść na DFSR przed dodaniem kontrolera Windows Server 2022:
dfsrmig /getmigrationstate
Wynik powinien wskazywać stan Eliminated (DFSR w użyciu, FRS usunięty). Jeśli widzisz Start, Prepared lub Redirected, przeprowadź pełną migrację DFSR:
dfsrmig /setglobalstate 3 # Eliminated
3. Przygotuj nowy serwer
Nowa maszyna z Windows Server 2022 (Standard lub Datacenter) powinna mieć:
- Nazwę komputera i statyczny adres IP ustawione przed promocją na DC
- DNS wskazujący na istniejący kontroler domeny (nie na siebie ani publiczny DNS)
- Zainstalowane wszystkie aktualizacje systemu (
Windows Update→ zainstaluj dostępne poprawki) - Role i funkcje: nie instaluj AD DS ręcznie przed promocją — kreator w Server Manager zrobi to automatycznie
Migracja krok po kroku — metoda zalecana (clean install + promocja)
Microsoft jednoznacznie wskazuje, że preferowaną metodą jest czysta instalacja systemu na nowym serwerze, a następnie promocja na kontroler domeny. Unikaj in-place upgrade istniejącego DC — niesie ryzyko uszkodzenia bazy AD i pozostawia potencjalne pozostałości starego systemu.
Krok 1: Dołącz nowy serwer do domeny
Add-Computer -DomainName "twojadomena.local" -Credential (Get-Credential) -Restart
Krok 2: Zainstaluj rolę AD DS i wypromuj nowy DC
W Server Manager: Zarządzaj → Dodaj role i funkcje → Usługi domenowe Active Directory. Po instalacji kliknij żółty trójkąt ostrzegawczy i wybierz Podnieś poziom tego serwera do kontrolera domeny.
Alternatywnie — PowerShell (zalecane dla powtarzalności):
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController `
-DomainName "twojadomena.local" `
-Credential (Get-Credential) `
-SiteName "Default-First-Site-Name" `
-InstallDns:$true `
-NoGlobalCatalog:$false
Podczas promocji kreator (lub PowerShell) automatycznie uruchomi adprep /forestprep i adprep /domainprep — nie musisz robić tego ręcznie przy dodawaniu nowego DC. Ręczne adprep jest wymagane tylko przy in-place upgrade istniejącego kontrolera.
Krok 3: Sprawdź replikację
Po restarcie nowego DC zweryfikuj, czy replikacja przebiegła pomyślnie:
repadmin /replsummary
repadmin /showrepl
dcdiag /v
Wynik replsummary powinien pokazywać 0 błędów. Jeśli widzisz błędy replikacji, sprawdź łączność sieciową, firewalla i synchronizację czasu (różnica >5 minut między serwerami blokuje Kerberos).
Krok 4: Przenieś role FSMO
Role Flexible Single Master Operations (FSMO) muszą zostać przeniesione ze starego DC na nowy, zanim zdemontujesz stary serwer. Sprawdź, gdzie obecnie są:
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster
Przenieś je na nowy DC:
Move-ADDirectoryServerOperationMasterRole `
-Identity "DC-2022" `
-OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster
Lub używając numerów ról (0–4):
Move-ADDirectoryServerOperationMasterRole -Identity "DC-2022" -OperationMasterRole 0,1,2,3,4
Krok 5: Demontaż starego kontrolera domeny
Po 24–48 godzinach stabilnej pracy nowego DC (i potwierdzeniu, że wszystkie usługi, aplikacje i zaufania korzystają z nowego serwera), zdemontuj stary DC:
Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition
Nie wyłączaj po prostu starego serwera bez demontażu — pozostawi on wpisy metadanych w AD, które trzeba będzie ręcznie wyczyścić przez NTDSUTIL.
Krok 6: Oczyszczenie metadanych (opcjonalnie, tylko jeśli to konieczne)
Jeśli stary DC został wyłączony bez demontażu, usuń pozostałości:
# Na nowym DC:
ntdsutil
metadata cleanup
connections
connect to server DC-2022
quit
select operation target
list sites
select site 0
list domains in site
select domain 0
list servers for domain in site
select server <numer_starego_DC>
quit
remove selected server
Krok 7: Podnieś poziom funkcjonalności (opcjonalnie)
Skoro Windows Server 2022 używa poziomu Windows Server 2016 jako najwyższego, podnoszenie nie jest wymagane — ale jeśli masz pewność, że żaden stary DC nie wróci:
Set-ADDomainMode -Identity "twojadomena.local" -DomainMode Windows2016Domain
Set-ADForestMode -Identity "twojadomena.local" -ForestMode Windows2016Forest
Metoda alternatywna — in-place upgrade (tylko dla pojedynczego DC, środowiska testowe)
Windows Server 2016 → Windows Server 2022 jest wspieraną ścieżką in-place upgrade (maksymalnie 2 wersje do przodu). Nie jest to jednak zalecane dla produkcyjnych kontrolerów domeny. Jeśli musisz z niej skorzystać (np. licencja OEM, brak nowego sprzętu):
- Wykonaj pełną kopię zapasową (System State + baza AD)
- Ręcznie uruchom
adprep /forestprepiadprep /domainprepz nośnika instalacyjnego Windows Server 2022 na starym DC z uprawnieniami Schema Admin i Domain Admin - Uruchom
setup.exez nośnika Windows Server 2022 i wybierz Uaktualnij: zainstaluj system Windows i zachowaj pliki, ustawienia i aplikacje - Po ponownym uruchomieniu zweryfikuj stan DC:
dcdiag /v,repadmin /replsummary
Najczęstsze problemy i ich rozwiązania
"Replikacja nie działa po promocji nowego DC"
Sprawdź w kolejności: (1) czy czas między DC jest zsynchronizowany (maks. 5 min różnicy), (2) czy zapora Windows nie blokuje portów AD DS (TCP/UDP 53, 88, 135, 389, 445, 636, 3268–3269, 49152–65535), (3) czy DNS nowego DC wskazuje na istniejący DC jako podstawowy serwer DNS.
"Błąd 'The replication operation failed because of a schema mismatch' podczas promocji"
Oznacza to, że las nie został przygotowany dla nowszej wersji. Uruchom ręcznie adprep /forestprep i adprep /domainprep z nośnika Windows Server 2022 na serwerze posiadającym rolę Schema Master — nawet jeśli kreator powinien zrobić to automatycznie.
"Dcdiag zgłasza błędy DFSR po migracji"
Przejdź na nowym DC do Event Viewer → Applications and Services Logs → DFS Replication. Jeśli widzisz błędy 4012 (usługa zatrzymana) lub 5002 (konflikt), uruchom dfsrdiag pollad i poczekaj na pełną synchronizację SYSVOL (może potrwać do 15 minut). Jeśli domena nadal używa FRS — wróć do sekcji wymagań wstępnych.
"Nie mogę zdemontować starego DC — kreator zgłasza, że jest ostatnim DC w domenie"
Oznacza to, że nowy DC nie został rozpoznany jako kontroler domeny. Sprawdź repadmin /showrepl na nowym serwerze — jeśli replikacja działa, odczekaj 2–3 cykle replikacji (domyślnie 15–180 minut, zależnie od topologii) i spróbuj ponownie.
Częste pytania
Czy Windows Server 2022 wymaga nowego poziomu funkcjonalności lasu?
Nie. Windows Server 2022 używa poziomu funkcjonalności Windows Server 2016 jako najwyższego dostępnego. Ani Windows Server 2019, ani 2022 nie wprowadziły nowego FFL/DFL. Nowy poziom pojawił się dopiero w Windows Server 2025. Nie musisz podnosić poziomu po migracji — domena działa poprawnie na Windows Server 2016 FFL z kontrolerami 2022.
Czy mogę przeprowadzić migrację bez przerywania działania usług domenowych?
Tak — metoda clean install + promocja nowego DC pozwala na pracę równoległą starego i nowego kontrolera. Użytkownicy i aplikacje uwierzytelniają się przez cały czas, ponieważ oba DC odpowiadają na zapytania LDAP i Kerberos. Jedynym momentem niedostępności jest restart starego DC po demontażu — ale w tym momencie nowy DC jest już w pełni operacyjny.
Czy muszę kupować nową licencję na Windows Server 2022?
Tak. Każde uaktualnienie Windows Server wymaga osobnego klucza licencyjnego — licencja Windows Server 2016 nie uprawnia do instalacji nowszej wersji. Dotyczy to zarówno licencji Standard, jak i Datacenter. Licencje OEM, Retail i Volume Licensing podlegają tym samym zasadom.
Ile czasu zajmuje replikacja po promocji nowego DC?
Replikacja wstępna (Initial Sync) obiektów AD trwa w zależności od rozmiaru bazy — dla małych i średnich domen (do 10 000 obiektów) zwykle od 15 minut do 2 godzin. Replikacja SYSVOL przez DFSR może potrwać dodatkowe 15–30 minut. Duże domeny (100 000+ obiektów, wiele GB bazy NTDS.dit) mogą potrzebować kilkunastu godzin. Monitoruj postęp przez repadmin /showrepl.
Czy mogę migrować bezpośrednio z Windows Server 2016 do Windows Server 2025 z pominięciem 2022?
Tak — Windows Server 2025 wspiera in-place upgrade z Windows Server 2016 (do 4 wersji wstecz). Jednak dla kontrolerów domeny nadal zalecana jest metoda czystej instalacji. Jeśli wybierasz Windows Server 2025, zyskujesz dodatkowo nowy poziom funkcjonalności z obsługą 32k stron bazy danych AD — ale przed migracją produkcyjną warto poczekać kilka miesięcy po premierze na stabilizację poprawek.
Co się stanie, jeśli nie zmigruję przed styczniem 2027?
Twój kontroler domeny przestanie otrzymywać poprawki bezpieczeństwa. Każda luka odkryta po 12 stycznia 2027 r. pozostanie niezałatana — łącznie z krytycznymi podatnościami umożliwiającymi eskalację uprawnień czy zdalne wykonanie kodu. Windows Server 2016 nie ma programu Extended Security Updates (ESU) w przeciwieństwie do Windows Server 2012 R2. Dla firm objętych regulacjami brak wsparcia producenta oznacza najprawdopodobniej utratę zgodności audytowej.
Czy usługi takie jak DHCP, DNS i certyfikaty (AD CS) trzeba migrować osobno?
Jeśli te role działają na tym samym serwerze co AD DS — tak, należy je przenieść przed demontażem starego DC. DNS jest automatycznie replikowany w strefach zintegrowanych z AD (wystarczy, że nowy DC jest serwerem DNS). DHCP wymaga eksportu bazy (Export-DhcpServer) i importu na nowy serwer. AD CS (usługi certyfikatów) to najbardziej złożony element — wymaga osobnej procedury migracji CA z kopią zapasową klucza prywatnego.
Bezpieczna infrastruktura zaczyna się od legalnego oprogramowania
Migracja kontrolera domeny do Windows Server 2022 to inwestycja w bezpieczeństwo twojej organizacji — ale tylko w połączeniu z legalną, aktywowaną licencją masz pewność, że otrzymujesz wszystkie poprawki i wsparcie techniczne Microsoft. Jeśli potrzebujesz klucza licencyjnego do Windows Server 2022 Standard lub Datacenter w atrakcyjnej cenie:
→ Licencje Windows Server 2022 — legalne klucze od 299 zł
KluczeSoft oferuje w pełni legalne licencje Microsoft na zasadzie odsprzedaży używanych kluczy (dozwolonej w UE na mocy orzeczenia Trybunału Sprawiedliwości UE w sprawie UsedSoft) — ta sama funkcjonalność co licencja pierwotna, w cenie nawet 60% niższej niż sugerowana cena detaliczna Microsoft.