Windows Server w wersjach 2012/2012 R2 i 2016 zbliża się do definitywnego końca wsparcia — Extended Security Updates (ESU) to opcja tymczasowego przedłużenia łatek bezpieczeństwa, natomiast migracja do Windows Server 2025 to rozwiązanie docelowe. Wybór między ESU a migracją sprowadza się do bilansu czasu, kosztów oraz gotowości infrastruktury: ESU kupuje rok–trzy lata oddechu za rosnącą rok do roku cenę i bez nowych funkcji, migracja wymaga jednorazowego wysiłku, ale daje dostęp do nowoczesnych zabezpieczeń (Credential Guard, SMB over QUIC, Hotpatch), lepszej wydajności NVMe i pełnego 10-letniego cyklu wsparcia.
Werdykt w pigułce: ESU vs migracja
Kryterium ESU (przedłużone łatki) Migracja do Windows Server 2025 Koszt Rosnący co rok (~75–100% wzrostu r/r na serwer); wymaga Software Assurance Jednorazowy koszt licencji + robocizna migracji Czas wdrożenia Kilka dni (aktywacja MAK lub Azure Arc) Tygodnie–miesiące (testy, plan, przeniesienie ról) Zakres ochrony Tylko łatki krytyczne i ważne (security-only) Pełne wsparcie: security + funkcje + hotfixy Nowe funkcje ❌ Brak ✅ Credential Guard, SMB over QUIC, Hotpatch, TLS 1.3, 32k AD Zasięg czasowy Maks. 3 lata od końca extended support Do 2034 (Server 2025) Dla kogo? Środowiska z legacy aplikacjami, brak budżetu na migrację od zaraz Każdy, kto może zaplanować upgrade w ciągu 6–12 miesięcy
W skrócie
- Windows Server 2012/2012 R2 — extended support wygasł 10 października 2023, ESU kończy się 13 października 2026 (już za kilka miesięcy!)
- Windows Server 2016 — extended support kończy się 12 stycznia 2027; ESU nie zostało jeszcze oficjalnie ogłoszone, ale Microsoft historycznie oferuje je dla wersji LTSC
- Windows Server 2019 — extended support do 9 stycznia 2029 (spokój na 2,5 roku)
- Windows Server 2022 — extended support do 14 października 2031 (ponad 5 lat zapasu)
- Windows Server 2025 — pełne wsparcie do 14 listopada 2034; umożliwia in-place upgrade nawet z Server 2012 R2 (maks. 4 wersje naraz)
- ESU nie zawiera nowych funkcji, nie obejmuje hotfixów nienależących do kategorii „krytyczne/ważne”, nie przedłuża wsparcia technicznego Microsoft
- Migracja do Azure = ESU za darmo (wliczone w koszt maszyny wirtualnej)
- KluczeSoft oferuje legalne licencje Windows Server 2025 w cenach niższych od katalogowych — zobacz Licencje Windows Server w KluczeSoft
Czym jest ESU (Extended Security Updates)
Extended Security Updates (ESU) to płatny program Microsoftu, który po zakończeniu extended support dostarcza wyłącznie poprawki bezpieczeństwa oznaczone jako critical i important. ESU nie jest pełnym wsparciem — nie dostaniesz poprawek błędów nienaruszających bezpieczeństwa, nowych funkcji ani pomocy technicznej od Microsoftu.
Program obejmuje maksymalnie 3 lata od daty zakończenia extended support. Dla Windows Server 2012 i 2012 R2 ten okres upływa 13 października 2026 — po tej dacie serwery pozostaną już bez żadnych łatek, chyba że zostaną przeniesione do Azure (gdzie Microsoft może przedłużyć ESU wyjątkowo).
Jak aktywować ESU — trzy ścieżki
| Ścieżka | Koszt ESU | Wymagania |
|---|---|---|
| Azure VM | 0 zł (wliczone) | Przenieś serwer jako wirtualną maszynę do Azure |
| Azure Arc | Płatny miesięcznie przez subskrypcję Azure | Serwer on-premises podłączony do Azure Arc + Software Assurance |
| Klucz MAK (offline) | Płatny rocznie przez Volume Licensing | Software Assurance + zakup ESU przez Microsoft 365 Admin Center + ręczna instalacja klucza MAK |
Koszt ESU poza Azure rośnie co roku — drugi rok jest droższy od pierwszego (nawet dwukrotnie), trzeci jeszcze droższy. Microsoft celowo windowuje cenę, by zmotywować do migracji. Do tego potrzebujesz aktywnego Software Assurance (umowa Volume Licensing), co samo w sobie jest kosztowne — szczególnie dla mniejszych firm.
Windows Server 2025 — co zyskujesz przy migracji
Windows Server 2025 (wydany 1 listopada 2024) to nie tylko „nowa wersja”, ale przeskok generacyjny w bezpieczeństwie i wydajności. Oto kluczowe zmiany względem Server 2012 R2 i 2016:
Bezpieczeństwo — nieporównywalnie wyższy poziom
- Credential Guard włączony domyślnie — izoluje hashe haseł w wirtualnym bezpiecznym kontenerze (VBS), uniemożliwiając ataki typu Pass-the-Hash i Pass-the-Ticket, przed którymi Server 2012 R2 i 2016 były praktycznie bezbronne bez ręcznego wdrożenia
- SMB over QUIC — szyfrowane połączenia plików przez internet (UDP/443) zamiast otwierania portu TCP/445; dostępne we wszystkich edycjach (Standard i Datacenter), nie tylko Azure Edition
- SMB signing i encryption domyślnie wymagane — eliminuje ataki man-in-the-middle na ruchu SMB
- TLS 1.3 dla LDAP — szyfrowanie LDAP najnowszym standardem, bez przestarzałych algorytmów
- LDAP signing i encryption obowiązkowe dla nowych wdrożeń Active Directory
- Hotpatch (preview) — łatanie jądra systemu bez restartu serwera (wymaga Azure Arc); coś niemożliwego w starszych wersjach
- VBS Enclaves i VBS Key Protection — izolacja wrażliwych kluczy kryptograficznych poza zasięgiem nawet administratora systemu
Wydajność i skalowalność
- NVMe — zoptymalizowana obsługa dysków NVMe: więcej IOPS, mniejsze zużycie CPU
- Hyper-V — do 4 PB pamięci i 2048 procesorów logicznych na hosta, do 240 TB RAM i 2048 vCPU na maszynę wirtualną Gen 2
- ReFS deduplikacja i kompresja natywna — oszczędność miejsca bez zewnętrznych narzędzi
- Block cloning na ReFS — kopiowanie plików przez operację na metadanych (milisekundy zamiast sekund)
Active Directory
- 32k database page size — koniec limitu 8 KB na obiekt AD; atrybuty wielowartościowe mogą pomieścić ~3200 wartości (2,6× więcej)
- Kerberos bez RC4 — Ticket Granting Tickets nie używają już słabego szyfrowania RC4-HMAC
- dMSA (Delegated Managed Service Account) — zarządzane konta usług z automatyczną rotacją kluczy
Porównanie cykli życia
| Wersja | Data wydania | Koniec mainstream | Koniec extended | ESU maks. do |
|---|---|---|---|---|
| Server 2012 / 2012 R2 | IX 2012 / X 2013 | X 2018 | X 2023 | X 2026 |
| Server 2016 | X 2016 | I 2022 | I 2027 | (nieogłoszone) |
| Server 2019 | XI 2018 | I 2024 | I 2029 | (za daleko) |
| Server 2022 | VIII 2021 | X 2026 | X 2031 | — |
| Server 2025 | XI 2024 | XI 2029 | XI 2034 | — |
Ścieżki migracji — jak przejść na nową wersję
1. In-place upgrade (najszybsza ścieżka na tym samym sprzęcie)
Od Windows Server 2025 możesz przeskoczyć do 4 wersji naraz na serwerze nieklastrowym. To oznacza, że bezpośrednio z Server 2012 R2 przejdziesz na Server 2025 w jednym ruchu:
- Server 2012 R2 → Server 2025 ✅
- Server 2016 → Server 2025 ✅
- Server 2019 → Server 2025 ✅
- Server 2022 → Server 2025 ✅
Ograniczenia: nie przełączysz się między Server Core a Desktop Experience, nie zmienisz języka, nie możesz przeprowadzić upgrade'u jeśli serwer jest kontrolerem domeny (najpierw przenieś role AD). ZAWSZE wykonaj pełny backup przed in-place upgrade.
2. Migracja ról (czysta instalacja na nowym sprzęcie)
Instalujesz świeży Server 2025 na nowej maszynie i przenosisz role (AD, DHCP, DNS, pliki, Hyper-V) za pomocą natywnych narzędzi migracyjnych Windows Server lub ręcznie. Zalecana ścieżka dla środowisk produkcyjnych — minimalizuje ryzyko przeniesienia „długu technologicznego” ze starego systemu.
3. Azure — migracja „lift-and-shift”
Przenosisz istniejący serwer jako wirtualną maszynę do Azure (Azure Migrate lub ręczny upload VHD). Natychmiast zyskujesz darmowe ESU + dostęp do usług chmurowych. Dla firm rozważających chmurę hybrydową to często optymalny pierwszy krok.
4. Cluster OS rolling upgrade
Dla klastrów failover — uaktualniasz węzły po kolei, bez zatrzymywania obciążeń Hyper-V i Scale-Out File Server. Ograniczenie: tylko o jedną wersję w górę na iterację.
Kiedy wybrać ESU, a kiedy migrację
Wybierz ESU, jeśli:
- Masz krytyczną aplikację legacy, która nie działa na Server 2022/2025 i nie masz jeszcze budżetu na jej przepisanie
- Kończysz właśnie projekt migracji, ale potrzebujesz 6–12 miesięcy na dokończenie testów
- Twoje serwery są już w Azure (ESU jest tam darmowe — nie ma powodu rezygnować)
- Masz aktywny Software Assurance i koszt 1. roku ESU jest niższy niż koszt przestoju produkcyjnego
Wybierz migrację, jeśli:
- Planujesz utrzymywać infrastrukturę dłużej niż 2–3 lata — ESU to rozwiązanie tymczasowe, nie strategia długoterminowa
- Zależy Ci na bezpieczeństwie wykraczającym poza „krytyczne łatki” — Credential Guard, SMB signing, LDAP encryption
- Nie masz Software Assurance — koszt SA + ESU często przekracza koszt nowej licencji Server 2025 już w drugim roku
- Twój sprzęt jest już i tak do wymiany — połącz wymianę hardware'u z czystą instalacją nowego systemu
Częste pytania
Czy ESU na Windows Server 2012/2012 R2 można jeszcze wykupić w 2026?
Tak, ale tylko do 13 października 2026, kiedy program ESU dla tych wersji definitywnie się kończy. Jeśli Twój serwer nadal działa na 2012 R2, masz dosłownie kilka miesięcy na decyzję. Po tej dacie żadne poprawki bezpieczeństwa — nawet krytyczne — nie będą już wydawane.
Czy Windows Server 2016 dostanie ESU?
Microsoft nie ogłosił jeszcze oficjalnie programu ESU dla Windows Server 2016, którego extended support kończy się 12 stycznia 2027. Biorąc pod uwagę, że 2016 to wersja LTSC (10-letni cykl) i że 2012/2012 R2 dostały ESU, jest bardzo prawdopodobne, że 2016 również otrzyma 3-letnie ESU — ale nie ma jeszcze oficjalnego potwierdzenia ani cennika. Jeśli planujesz polegać na ESU dla 2016, śledź komunikaty Microsoftu w drugiej połowie 2026.
Ile kosztuje ESU dla Windows Server?
Dokładne ceny zależą od umowy Volume Licensing i liczby rdzeni, ale reguła jest stała: każdy kolejny rok kosztuje więcej niż poprzedni (często ~2×). Na przykład dla Server 2012 R2 pierwszy rok ESU to ok. 75% ceny licencji rocznej, drugi rok ~150%, trzeci ~225%. Do tego potrzebujesz aktywnego Software Assurance. W Azure ESU jest zawsze darmowe — to kluczowy czynnik przy kalkulacji TCO.
Czy ESU obejmuje też poprawki stabilności i wydajności?
Nie. ESU dostarcza wyłącznie poprawki bezpieczeństwa sklasyfikowane jako critical i important. Nie obejmuje poprawek stabilności, wydajności, kompatybilności ani jakichkolwiek hotfixów na zgłoszenie. Jeśli napotkasz błąd w Windows Server 2012 R2 po zakończeniu extended support, Microsoft nie wyda do niego poprawki — nawet jeśli płacisz za ESU.
Czy mogę zrobić in-place upgrade z Windows Server 2012 (nie R2) na Server 2025?
Nie bezpośrednio. Windows Server 2012 (pierwsze wydanie, nie R2) może być uaktualniony in-place maksymalnie do Server 2016. Aby przejść na Server 2025, potrzebujesz co najmniej Server 2012 R2. Dla Server 2012 zalecana jest migracja ról na nowy sprzęt z czystą instalacją Server 2025.
Czy licencja Windows Server 2025 z KluczeSoft nadaje się do środowisk produkcyjnych?
Tak. Licencje oferowane przez KluczeSoft to legalne, pełnoprawne klucze Microsoft zgodne z prawem unijnym (wyrok Trybunału Sprawiedliwości UE C-128/11 — UsedSoft). Otrzymujesz klucz aktywacyjny, który przechodzi walidację Microsoft i otrzymuje aktualizacje. To ta sama funkcjonalność co licencja katalogowa, w znacznie korzystniejszej cenie. Zobacz dostępne edycje: Licencje Windows Server w KluczeSoft.
Czy po migracji na Server 2025 stracę dostęp do starszych funkcji?
Kilka funkcji zostało usuniętych lub wyłączonych domyślnie — m.in. Remote Mailslot (wyłączony), PPTP/L2TP w RRAS (wyłączone przy nowej instalacji, zachowane przy in-place upgrade), WordPad (całkowicie usunięty), WINS (zdeprecjonowany). Żadna z tych zmian nie dotyczy typowych ról serwerowych (AD, DNS, DHCP, IIS, pliki, Hyper-V). Zdecydowana większość aplikacji działających na 2016/2019 działa bez problemu na 2025 — ale standardowo zalecamy testy regresyjne przed wdrożeniem produkcyjnym.
KluczeSoft jest niezależnym sprzedawcą — nie jesteśmy autoryzowanym partnerem Microsoftu. Oferujemy legalne licencje używane w oparciu o wyrok TSUE C-128/11 (UsedSoft).