Zegar tyka dla Server 2016
Windows Server 2016 miał premierę w październiku 2016 r. i bazuje na jądrze Windows 10 1607. Wsparcie główne (mainstream) zakończyło się już w styczniu 2022, a wsparcie rozszerzone — z poprawkami bezpieczeństwa — kończy się 13 stycznia 2027. Po tej dacie system przestaje dostawać łatki (poza płatnym ESU), co dla większości organizacji oznacza realny problem z compliance, ubezpieczeniem cyber i audytami bezpieczeństwa.
To najczęstszy praktyczny powód modernizacji: nie „bo 2025 jest nowsze”, lecz „bo 2016 przestaje być łatane”. Jeśli masz maszyny z WS2016 — często jeszcze fizyczne — to naturalny moment, by przy okazji zwirtualizować je na Proxmox VE, a potem podnieść do Windows Server 2025 oficjalną procedurą upgrade’u — z pełnym rollbackiem na Proxmox (snapshot przed aktualizacją), gdyby coś nie wyszło 🙂.
To samo dotyczy nowszych wersji: Windows Server 2019 kończy wsparcie rozszerzone 9 stycznia 2029, a 2022 — 14 października 2031. Server 2025 przesuwa ten horyzont aż do okolic 2034 (standardowy 10-letni cykl).
Daty wsparcia w skrócie
| Wersja | Premiera | Koniec mainstream | Koniec wsparcia rozszerzonego |
|---|---|---|---|
| Windows Server 2016 | październik 2016 | 11 sty 2022 | 12 sty 2027 |
| Windows Server 2019 | listopad 2018 | 9 sty 2024 | 9 sty 2029 |
| Windows Server 2022 | sierpień 2021 | 13 paź 2026 | 14 paź 2031 |
| Windows Server 2025 | listopad 2024 | ~2029 | ~2034 |
Kluczowa liczba dla planowania to styczeń 2027 — od tego momentu WS2016 bez płatnego ESU jest systemem bez łatek. Migrację warto zaplanować z zapasem, a nie w ostatnim kwartale przed końcem wsparcia.
Największe zmiany w Server 2025
- Hotpatching — większość poprawek bezpieczeństwa instaluje się bez restartu (typowo ok. 4 restarty rocznie zamiast comiesięcznych). Na on-premises to płatna subskrypcja aktywowana przez Azure Arc.
- SMB over QUIC w edycjach Standard i Datacenter — szyfrowany SMB po porcie 443 bez VPN (wcześniej tylko w Datacenter: Azure Edition). Dodatkowo domyślnie włączone podpisywanie SMB i firewall SMB.
- Active Directory — pierwszy od 2016 nowy poziom funkcjonalny lasu i domeny, większa strona bazy (32 KB), opcjonalna rezygnacja z NTLM i mocniejsza kryptografia Kerberos.
- Bezpieczeństwo domyślnie — Credential Guard, VBS, ochrona LSASS i hardware-enforced stack protection włączone już od instalacji.
- Storage i ReFS — deduplikacja i kompresja ReFS, thin provisioning, block cloning oraz wyraźnie wyższe IOPS na dyskach NVMe.
- Nowoczesny trzon — baza Windows 11 24H2, wbudowany OpenSSH i WinGet, nowsze .NET i PowerShell, model „Annual Channel”.
Co dzieli obie wersje
| Obszar | Windows Server 2016 | Windows Server 2025 |
|---|---|---|
| Trzon systemu | Windows 10 1607 | Windows 11 24H2 |
| Wsparcie rozszerzone | do stycznia 2027 | ~do 2034 |
| Hotpatching (bez restartu) | brak | tak (subskrypcja Arc) |
| SMB over QUIC | brak | Standard i Datacenter |
| Poziom funkcyjny AD | 2016 | 2025 (nowy) |
| Zabezpieczenia domyślne | konfiguracja ręczna | Credential Guard / VBS on |
| ReFS dedup + kompresja | brak | tak |
| Hyper-V GPU-P + live migration | brak | tak |
| OpenSSH / WinGet | doinstalowywane | wbudowane |
| Model licencji | per-core + CAL | per-core + CAL (opcjonalna subskrypcja) |
Licencjonowanie zostaje per-core (minimum 16 rdzeni na serwer, 8 na procesor) i nadal wymaga CAL-i. Nowością jest opcjonalny model subskrypcyjny „pay-as-you-go” przez Azure Arc — istotny m.in. przy hotpatchingu.
Kiedy upgrade ma sens — a kiedy poczekać
- Tak, modernizuj gdy: WS2016 zbliża się do końca wsparcia (2027); potrzebujesz SMB over QUIC, nowego poziomu AD, hotpatchingu lub mocniejszych zabezpieczeń; budujesz nowe środowisko od zera; masz wymogi NIS2 / polis cyber.
- Rozważ 2022 zamiast 2025 gdy: nie chcesz subskrypcji na hotpatching, Twoje aplikacje są certyfikowane maksymalnie do 2022, a wsparcie do 2031 w zupełności wystarcza.
- Poczekaj i testuj gdy: krytyczne aplikacje nie mają certyfikacji na 2025, a sterowniki lub agenci (backup, antywirus, monitoring) nie są jeszcze wspierani — najpierw PoC na izolowanej maszynie.
W środowisku wirtualnym Proxmox rekomendujemy aktualizację in-place — zachowuje konfigurację, role i dane, i jest szybsza niż odtwarzanie serwera od zera. Bezpieczeństwo daje snapshot VM zrobiony tuż przed upgrade’em: gdyby coś poszło nie tak, wracasz do stanu sprzed kilku minut jednym kliknięciem. Czystą instalację rozważ tylko dla mocno zaśmieconych, wieloletnich systemów, gdzie świeży start bywa zdrowszy.
Aktualizacja in-place do 2025 jest w pełni wspierana bezpośrednio z Windows Server 2016, 2019 i 2022 — bez wersji pośrednich. W Proxmox zrób snapshot VM tuż przed startem upgrade’u; to Twój natychmiastowy rollback, gdyby aktualizacja się nie powiodła.
Uruchom Server 2025 czysto na Proxmox VE
Windows Server 2025 działa na Proxmox VE jak każdy nowoczesny gość Windows — pod warunkiem właściwej konfiguracji maszyny i sterowników paravirtio. To także najczystsza droga wyjścia z fizycznego WS2016: migracja P2V i od razu wspierany system.
- Maszyna q35 + UEFI (OVMF) z dyskiem EFI; włącz TPM 2.0 i Secure Boot — pod VBS/Credential Guard i zgodność z bazą Windows 11.
- Sterowniki virtio z ISO
virtio-win: dysk (SCSI virtio), sieć (virtio-net), balloon oraz QEMU Guest Agent. - Typ CPU
hostlubx86-64-v3— patrz nasz artykuł o typach CPU — dla pełnych flag i szybkiego AES/AVX. - Migracja z 2016/2019 — P2V przez
virt-v2v, a następnie in-place upgrade do 2025 w VM (ze snapshotem zrobionym przed startem).
Modernizujesz stare serwery? Zobacz migrację serwerów fizycznych (P2V) oraz dobór typu CPU w Proxmox — to najczęstsze decyzje przy przenoszeniu Windows Server na Proxmox VE.
Licencje Windows Server na gęstym hoście
Najczęstsze pytanie przy Windowsie na Proxmox: skoro VM „bierze” tylko 2 vCPU, to płacę za 2 rdzenie? Nie. Windows Server licencjonujesz od fizycznych rdzeni hosta, a nie od vCPU maszyny — i musisz pokryć wszystkie rdzenie serwera (minimum 16 na serwer, 8 na procesor).
Pułapka gęstości: 2-vCPU VM na hoście z 128-rdzeniowym EPYC w modelu klasycznym wymaga licencji na całe 128 rdzeni — nie na 2.
| Model licencji | Co licencjonujesz | Efekt |
|---|---|---|
| Standard (per-core) | wszystkie fizyczne rdzenie hosta | prawo do 2 VM Windows; więcej = „stacking” |
| Datacenter (per-core) | wszystkie fizyczne rdzenie hosta | nieograniczona liczba VM Windows |
| Per-VM (z Software Assurance) | wirtualne rdzenie danej VM (min. 8 na VM) | 2-vCPU VM = 8 rdzeni zamiast 128 |
W klastrze HA dochodzi mobilność: jeśli maszyna może się przenieść na inny węzeł (live migration / failover), to w modelu fizycznym każdy taki węzeł musi być osobno w pełni licencjonowany. Model per-VM z Software Assurance daje licencji mobilność — „podróżuje” razem z VM.
- Dużo maszyn Windows → Datacenter na hoście: raz licencjonujesz fizyczne rdzenie, VM-ek bez limitu.
- Kilka maszyn Windows na gęstym węźle → per-VM z Software Assurance: płacisz 8 rdzeni na VM zamiast wszystkich fizycznych.
- Konsolidacja Windowsów na dedykowanym, mniejszym węźle — mniej fizycznych rdzeni do licencjonowania; ta sama logika „mniej rdzeni = mniej licencji”, co przy bazach per-core.
- CAL-e (per user/device) dochodzą niezależnie od modelu rdzeniowego.
Uwaga na HA i mobilność: licencjonujesz każdy węzeł, na którym VM może się uruchomić — nie tylko ten, na którym zwykle działa. Miękka reguła affinity i automatyczny failover nie zmniejszają obowiązku licencyjnego. Żeby licencjonować tylko podzbiór węzłów, przypnij Windows twardą (strict) regułą node-affinity do licencjonowanych hostów (tak, by VM nigdy nie trafiła gdzie indziej), a do legalnego przenoszenia licencji między serwerami potrzebujesz Software Assurance.
Licencjonowanie Microsoftu bywa zawiłe i się zmienia — konkretny scenariusz potwierdź z partnerem licencyjnym lub w aktualnym „Windows Server Licensing Guide”. Powyższe to reguły ogólne, nie porada prawna.
Zmodernizujemy Twoje serwery Windows na Proxmox
Zwirtualizujemy fizyczne WS2016/2019, postawimy wspierane Windows Server 2025 na Proxmox VE i przeniesiemy role — bezpiecznie, z backupem PBS i pełnym rollbackiem.
⚡ Bezpłatna konsultacja → Migracja serwerów fizycznych (P2V)