Anfang 2027 endet für Windows Server 2016 der erweiterte Support von Microsoft. Das ist kein technisches Detail, das nur IT-Abteilungen betrifft. Es ist ein Termin, den Geschäftsführer kennen sollten, weil er direkte Auswirkungen auf die Sicherheit der IT-Infrastruktur und auf Haftungsfragen hat. Dieser Artikel erklärt, was nach dem Supportende passiert, welche Migrationsoptionen es gibt und warum der Zeitplan enger ist, als er auf den ersten Blick wirkt.
Was Supportende konkret bedeutet
Microsoft unterscheidet für seine Serverprodukte zwei Support-Phasen. Der Mainstream-Support umfasst neue Features, Nicht-Sicherheits-Updates und Support-Anfragen. Der erweiterte Support (Extended Support) umfasst nur noch Sicherheits-Updates.
Für Windows Server 2016 ist der Mainstream-Support bereits am 11. Januar 2022 ausgelaufen. Der erweiterte Support läuft am 12. Januar 2027 aus.
Nach diesem Datum gibt es keine Sicherheitsupdates mehr. Neue Schwachstellen in Windows Server 2016 werden von Microsoft nicht mehr behoben. Diese Schwachstellen werden aber weiterhin von Sicherheitsforschern entdeckt und veröffentlicht, und von Angreifern ausgenutzt. Ein Server, der nach Supportende weiterläuft, ist ein System mit wachsender, nie schließender Angriffsfläche.
Hinzu kommt eine Frage, die viele Geschäftsführer nicht auf dem Schirm haben: Versicherungen für IT-Sicherheitsvorfälle, sogenannte Cyber-Versicherungen, prüfen bei Schadensfällen, ob das Unternehmen bekannte Risiken ignoriert hat. Das Betreiben eines Systems nach seinem öffentlich bekannten Supportende gilt als bekanntes Risiko. Wer darüber hinaus keinen Patch installiert und danach einen Angriff erleidet, kann in eine schwierige Position gegenüber seiner Versicherung geraten.
Extended Security Updates: Zeitpuffer, keine Lösung
Microsoft bietet für Server 2016 nach dem Supportende kostenpflichtige Extended Security Updates (ESU) an. ESU liefern weiterhin Sicherheitspatches, aber nur für kritische und wichtige Schwachstellen, keine neuen Features, keine erweiterten Korrekturen.
Die Kosten steigen pro Jahr: Das erste ESU-Jahr kostet 75 Prozent des ursprünglichen Lizenzwerts, das zweite und dritte Jahr jeweils 100 Prozent. Bei mehreren Servern summiert sich das schnell. ESU sind maximal für drei Jahre verfügbar, also bis Januar 2030.
ESU sind keine strategische Lösung. Sie geben Unternehmen Zeit, eine Migration durchzuführen, wenn der Termin nicht eingehalten werden konnte. Wer ESU als dauerhaften Betriebsmodus plant, zahlt hohe Lizenzkosten für ein System, das irgendwann trotzdem migriert werden muss.
| Option | Zeitraum | Ungefähre Einordnung |
|---|---|---|
| Migration bis Januar 2027 | Geplant | Empfohlen |
| ESU Jahr 1 (2027) | Zwischenlösung | Kostenpflichtig, 75% Lizenzwert |
| ESU Jahr 2 (2028) | Notlösung | Kostenpflichtig, 100% Lizenzwert |
| Kein Update | Nach Januar 2027 | Nicht empfohlen, Sicherheitsrisiko |
Migrationswege im Überblick
Es gibt im Wesentlichen drei Richtungen, in die eine Migration gehen kann. Welche passt, hängt von der genutzten Software, dem Budget, der IT-Strategie und dem Zeitplan ab.
Windows Server 2022 oder 2025 (On-Premise)
Der direkte Nachfolger auf eigener Hardware oder als virtuelle Maschine im eigenen Rechenzentrum. Für Unternehmen, die aus regulatorischen, datenschutzrechtlichen oder betrieblichen Gründen ihre Systeme lokal betreiben wollen oder müssen.
Windows Server 2022: Support bis Oktober 2031. Solide, gut dokumentiert, breite Kompatibilität mit Unternehmenssoftware.
Windows Server 2025: Die aktuelle Version, Support bis Oktober 2034. Bessere Sicherheitsarchitektur, verbesserte Hyper-V-Integration, aktuellere Technologiebasis. Für Neuinstallationen heute die bessere Wahl.
Die Migration von 2016 auf 2022 oder 2025 erfordert keine vollständige Neuinstallation aller Anwendungen, wenn ein In-Place-Upgrade möglich ist. In der Praxis ist ein sauberer paralleler Aufbau mit anschließender Datenmigration aber oft die zuverlässigere Methode, weil er Testmöglichkeiten vor dem Umschalten bietet.
Migration in die Azure-Cloud
Windows Server 2016-Instanzen können als virtuelle Maschinen in Azure migriert werden. Microsoft bietet dafür spezifische Tools und Migrationspfade.
Ein zusätzlicher Vorteil: Für Windows Server-VMs in Azure bietet Microsoft kostenlosen ESU-Schutz für Server 2016 nach dem Supportende, ohne die oben genannten Zusatzkosten. Das gibt mehr Flexibilität beim Timing.
Azure-Migration ist eine Option für Unternehmen, die ohnehin eine Cloud-Strategie verfolgen oder lokale Hardware-Kosten reduzieren wollen. Sie ist keine universell günstigere Lösung, weil laufende Azure-Kosten gegen Abschreibung eigener Hardware gerechnet werden müssen.
Ablösung durch M365-Dienste
Nicht jede Server-Rolle braucht einen Nachfolge-Server. Viele Funktionen, die heute noch auf eigenen Servern laufen, können durch M365-Dienste abgelöst werden:
Dateiserver durch SharePoint und OneDrive for Business. E-Mail-Server durch Exchange Online. Identitätsverwaltung durch Azure Active Directory (Entra ID). VPN-Zugänge durch Azure VPN Gateway oder ähnliche Lösungen.
Diese Ablösung macht Sinn für Unternehmen, die ihre lokale Infrastruktur langfristig vereinfachen oder ganz in die Cloud verlagern wollen. Sie ist komplexer in der Einführung, weil Arbeitsabläufe und Berechtigungsstrukturen angepasst werden müssen. Dafür entfallen laufende Hardware- und Lizenzkosten für On-Premise-Server.
Bestandsaufnahme: was auf den Servern läuft
Bevor eine Migration geplant werden kann, muss bekannt sein, was auf den bestehenden Servern läuft. Das klingt selbstverständlich, ist es aber in vielen Unternehmen nicht. Systeme, die vor Jahren eingerichtet wurden, laufen still im Hintergrund, ohne dass noch jemand sicher weiß, wofür genau sie gebraucht werden.
Eine Bestandsaufnahme für Windows Server 2016 sollte erfassen:
Welche Server-Rollen sind aktiv? Active Directory, DNS, DHCP, Dateiserver, Druckserver, IIS, Hyper-V, SQL Server?
Welche Anwendungen laufen auf dem Server? Nicht nur die sichtbaren, sondern auch Dienste im Hintergrund. ERP-Systeme, Dokumentenmanagement, Backup-Software, Monitoring-Agenten?
Welche anderen Systeme sind von diesem Server abhängig? Wenn der Active-Directory-Controller migriert wird, müssen alle Clients und Server, die sich gegen ihn authentifizieren, angepasst werden.
Welche Kompatibilitätsanforderungen haben die installierten Anwendungen? Laufen sie auch auf Server 2022 oder 2025? Gibt es vom Hersteller eine Kompatibilitätsaussage?
Diese Bestandsaufnahme dauert je nach Infrastruktur einige Stunden bis wenige Tage. Sie ist der Ausgangspunkt für jeden realistischen Migrationsplan.
Zeitplan: warum jetzt planen
Januar 2027 klingt weit weg. Ist es nicht, wenn man die nötigen Schritte aufzählt.
Schritt 1: Bestandsaufnahme. Was läuft wo, welche Abhängigkeiten gibt es? Dauer: 1 bis 4 Wochen.
Schritt 2: Migrationsstrategie entscheiden. On-Premise, Cloud, M365-Ablösung oder Kombination? Budgetfreigabe einholen. Dauer: 2 bis 4 Wochen, je nach Entscheidungsweg im Unternehmen.
Schritt 3: Neue Umgebung aufbauen und testen. Neuen Server einrichten, Rollen und Anwendungen installieren, Konfiguration übertragen, Kompatibilität testen. Dauer: 2 bis 8 Wochen, abhängig von Komplexität.
Schritt 4: Migrationsfenster planen und durchführen. Migration erfordert in der Regel ein Wartungsfenster, in dem Systeme kurzzeitig nicht erreichbar sind. Das muss mit dem Betrieb abgestimmt sein. Dauer Planung: 2 bis 4 Wochen. Durchführung: Stunden bis Tage.
Schritt 5: Nacharbeiten und Stabilisierung. Probleme, die erst im Betrieb auftauchen, beheben. Dokumentation aktualisieren. Dauer: 2 bis 4 Wochen.
Realistischer Gesamtzeitraum für eine unkomplizierte Migration: 3 bis 5 Monate. Für komplexe Infrastrukturen mit mehreren Servern und geschäftskritischen Anwendungen: 6 bis 12 Monate.
Wer im ersten Quartal 2026 beginnt, hat komfortablen Puffer. Wer im dritten Quartal 2026 beginnt, wird es eng. Wer Ende 2026 beginnt, braucht ESU als Brücke.
Checkliste: Migration Windows Server 2016
Eine kompakte Checkliste für die Planung:
- Alle Windows Server 2016-Instanzen identifiziert (physisch und virtuell)
- Installierte Rollen pro Server dokumentiert
- Abhängige Systeme und Anwendungen erfasst
- Herstelleraussagen zu Kompatibilität mit Server 2022/2025 eingeholt
- Migrationsstrategie entschieden (On-Premise, Azure, M365-Ablösung)
- Budget und Ressourcen geplant
- Neue Zielumgebung aufgebaut und getestet
- Migrationsfenster mit Betrieb abgestimmt
- Migration durchgeführt und dokumentiert
- Backup der alten Systeme nach Migration für Übergangszeit aufbewahrt
- Alte Server 2016-Instanzen dekommissioniert
ITCC begleitet mittelständische Unternehmen bei der Bestandsaufnahme, Planung und Durchführung von Server-Migrationen. Wenn Sie sich unsicher sind, welche Server 2016-Systeme in Ihrer Infrastruktur laufen und wie der Migrationsweg aussieht, sprechen Sie uns an.
Häufige Fragen
Verwandte Themen
- SpezialfälleE-Mail-Sicherheit: SPF, DKIM und DMARC verständlich erklärt
Was SPF, DKIM und DMARC tun, wie sie CEO-Fraud und Spoofing verhindern, und warum fehlende DNS-Einträge Ihre E-Mails im Spam-Ordner landen lassen.
- SpezialfälleFirewall und Netzwerksicherheit für KMU
Was eine moderne Firewall leistet, warum der Router vom Provider nicht reicht, und wie ein sicheres KMU-Netz mit Segmentierung, VPN und Monitoring aufgebaut ist.
- SpezialfälleHomeoffice sicher anbinden: VPN und Zero Trust für KMU
Risiken bei Remote-Arbeit, VPN vs. Zero Trust Network Access, Gerätemanagement, MFA und Richtlinien für ein sicheres Homeoffice im KMU.