Fin de support Windows Server 2016 & 2019 : dates officielles, coûts ESU, options Azure et plans d’action

Les dates de fin de support de Windows Server 2016 et 2019 impactent directement votre sécurité, vos budgets et vos choix d’architecture. Voici les échéances officielles, ce que couvre le « support étendu », et des plans d’action concrets pour décider rapidement.

Sommaire

Fin de support de Windows Server 2016 & 2019

Vue d’ensemble

Windows Server en canal LTSC (Long-Term Servicing Channel) suit la Fixed Lifecycle Policy de Microsoft, avec deux phases successives : support principal (fonctionnalités, correctifs fonctionnels et sécurité) puis support étendu (correctifs de sécurité uniquement, assistance payante). Les dates ci‑dessous sont officielles pour les éditions LTSC de Windows Server 2016 et 2019.

Dates officielles (LTSC)

Produit	Fin du support principal	Fin du support étendu
Windows Server 2016	11 janvier 2022	12 janvier 2027
Windows Server 2019	9 janvier 2024	9 janvier 2029

Sources : Microsoft Learn (pages cycle de vie Windows Server 2016/2019, Fixed Lifecycle Policy, Release health).

Ce que cela implique pendant la phase de support étendu

Mises à jour de sécurité : disponibles sans coût supplémentaire via les canaux habituels (Windows Update, WSUS, Catalog).
Assistance Microsoft : payante (contrat Unified/Premier ou au ticket) si vous avez besoin d’un support technique officiel.
Évolution produit : pas de nouvelles fonctionnalités ni de correctifs non‑sécurité (sauf exceptions très ciblées via des programmes spécifiques).

Coût du « support étendu » — clarification indispensable

Le terme « support étendu » est souvent mal compris. Il recouvre en réalité deux situations distinctes :

Pendant la phase de support étendu (jusqu’aux dates ci‑dessus)

Aucune souscription additionnelle n’est requise pour recevoir les mises à jour de sécurité du système d’exploitation.
Si vous avez besoin de parler à Microsoft, l’assistance est facturée (contrat de support ou ticket ponctuel).

Après la fin du support étendu (EOS)

Pour continuer à recevoir des correctifs de sécurité Windows après EOS, il faut souscrire aux Extended Security Updates (ESU).
Dans Azure (y compris Azure Stack HCI/AVS et certains scénarios managés) : ESU inclus sans surcoût au‑delà du coût d’exécution de la VM.
Hors Azure : ESU payant, disponible via Volume Licensing/CSP ou via Azure Arc (facturation mensuelle possible).
Les tarifs varient selon l’édition (Datacenter/Standard), le nombre de cœurs, la durée et votre accord commercial ; votre revendeur/licensing partner reste la source de vérité pour un chiffrage contractuel.

Référence tarifaire utile (à titre d’exemple)

Pour Windows Server 2012/2012 R2, Microsoft a communiqué un ordre de grandeur : 100 % du prix de licence par an pour chacune des trois années ESU en environnements on‑prem/hostés, gratuit dans Azure. Cela ne constitue pas la grille officielle pour 2016/2019, mais donne une idée du budget à anticiper si vous restez on‑prem après EOS. (Réf. : FAQ ESU sur Microsoft Learn.)

Recommandations pratiques

Planifier la mise à niveau avant les échéances : ciblez Windows Server 2022 ou Windows Server 2025 (LTSC) pour rester dans le support standard et éviter d’acheter des ESU.
Alternativement, migrez vers Azure si vous devez prolonger l’usage après EOS : vous profiterez d’ESU inclus sans surcoût au niveau OS.
Si vous restez on‑prem après EOS : budgétez les ESU et engagez tôt votre revendeur/licensing partner (VL/CSP ou Azure Arc) pour les modalités.
Priorisez les charges critiques (ex. Domain Controllers, workloads exposés, serveurs DMZ) et les environnements à haut risque de conformité (santé, finances, services publics).

Feuille de route de migration (exécutable)

Période	Actions clés	Délivrables	Risques atténués
Semaine 1 à 2	Inventaire VMs/physiques, éditions, rôles (AD DS, DHCP, DNS, File, IIS, Hyper‑V, RDS…), dépendances applicatives, versions .NET/TLS, agents.	CMDB à jour, matrice dépendances, priorité par criticité.	Angles morts, oubli d’un serveur critique.
Semaine 3 à 4	Choix d’orientation : upgrade in‑place vs réinstallation vs lift‑and‑shift Azure. PoC minimal (1–2 workloads).	Stratégie cible par groupe de serveurs, playbook PoC.	Mauvais choix d’approche, surcoût ultérieur.
Mois 2	Pré‑requis : sauvegardes testées, compatibilité applicative, pilotes/FW, désinstallation de rôles obsolètes (SMBv1, fonctionnalités dépréciées).	Plan de retour arrière, check‑list upgrade, fenêtre de maintenance.	Interruption prolongée, rollback impossible.
Mois 3 à 4	Migrations par vagues (non‑prod → prod). Modernisation opportuniste : segmentation, durcissement TLS 1.2+, MFA admin, JIT/JEA.	V1 de l’environnement cible (2022/2025 ou Azure).	Vulnérabilités héritées non traitées.
Mois 5	Optimisation coûts : consolidation, rightsizing, retrait d’agents legacy.	Rapport ROI, plan d’extinction des anciens serveurs.	Surcoût récurrent, sprawl VM.
Mois 6	Clôture : documentation, transfert aux opérations, runbooks patching & monitoring.	Guide d’exploitation à jour, KPIs post‑migration.	Dette opérationnelle, incidents répétitifs.

Choisir la bonne approche

Approche	Description	Avantages	Points d’attention	Quand l’utiliser
Upgrade in‑place	Mettre à niveau l’OS sur le même serveur (2016 → 2019 → 2022/2025).	Rapide, pas de refonte infra, conserve paramètres et apps.	Accumule l’historique, échecs d’install possibles, fenêtres plus longues. Support n→n+1 recommandé, tests indispensables.	Workloads simples, faible criticité, compatibilité validée.
Réinstallation/migration parallèle	Nouveau serveur (ou VM) propre, réinstallation des rôles/apps, bascule contrôlée.	Environnement « propre », meilleure posture sécurité, rollback aisé.	Temps de projet plus long, scripts de migration à préparer.	Rôles AD/File/IIS, applications sensibles au « clean build ».
Lift‑and‑shift vers Azure	Re‑héberger tel quel (IaaS), ESU inclus après EOS côté OS.	Accès ESU sans surcoût, élasticité, options PaaS pour moderniser ensuite.	Coûts d’exploitation cloud, contraintes réseau/latence, gouvernance.	Contrainte calendrier, besoin ESU, data center en fin de vie.

Modélisation budgétaire simple (ordre de grandeur)

Avertissement : les chiffres exacts dépendent de vos contrats et éditions. Utilisez ce cadre pour une pré‑estimation avant chiffrage officiel.

Hypothèses : licences core‑based 16 cœurs minimum par serveur, ESU facturé par cœur pour l’OS (hors packs d’applications), par année, par édition.
Formule ESU on‑prem (exemple inspiré des pratiques 2012/2012 R2) : Coût annuel ESU ≈ (Prix licence Datacenter/Standard par 16 cœurs) × Nombre de blocs 16 cœurs × Facteur année où Facteur année ≈ 1 la 1^re année, 1 la 2^e, 1 la 3^e (ordre de grandeur 2012) ; à confirmer pour 2016/2019.
ESU via Azure Arc : facturation mensuelle possible, activation par machine, utile pour lisser la dépense et couvrir sélectivement les serveurs qui restent après EOS.
ESU dans Azure : inclus côté OS, ce qui peut rendre un lift‑and‑shift temporaire moins coûteux que des ESU on‑prem pour certains parcs.
Comparatif rapide :
- Si horizon < 12 mois après EOS pour 2016 : Azure peut être plus efficient (ESU inclus).
- Si horizon ≥ 24–36 mois : un upgrade/migration vers 2022/2025 évite 2–3 années d’ESU cumulées.

Points techniques & pièges à éviter

Contrôleurs de domaine : validez le niveau fonctionnel, l’ordre d’introduction des nouveaux DCs (promotion/demotion), la réplication et la SYSVOL migration si nécessaire.
Clusters (Failover, Hyper‑V, SQL FCI) : vérifiez la compatibilité mixte pendant la transition, la mise à niveau rolling et les versions de niveau de cluster.
Chiffrement & TLS : ciblez TLS 1.2+ partout, inventorie z et remplacez les composants qui ne le supportent pas (agents, imprimantes, middlewares).
.NET & runtimes : mappez les prérequis des applications (Framework vs Core/6+/8+), plan de tests associé.
Protocoles hérités : supprimez SMBv1 et fonctionnalités obsolètes, refaites la posture GPO.
Antivirus/EDR & agents : installez les versions compatibles avec la cible (2022/2025), évitez les conflits pendant upgrade.
Exposition Internet : priorisez DMZ, reverse proxies et IIS publics ; toute dérive de patching après EOS augmente l’attaque surface.
Backups : testez la restauration avant et après migration (fichiers, VSS, applications cohérentes).

ESU via Azure Arc : comment s’y prendre (hors Azure)

Connecter les serveurs on‑prem/Autres clouds à Azure via l’agent Azure Arc.
Activer l’offre ESU correspondante sur les machines éligibles (post‑EOS), par groupe de ressources, avec pilotage RBAC.
Superviser la conformité des patchs via Update Management/Defender for Cloud, centraliser les rapports.
Facturer mensuellement : n’activez ESU que pour les machines qui en ont besoin et uniquement le temps nécessaire.

Bon à savoir : ESU pour Windows Server ne couvre que l’OS. Les produits applicatifs (p. ex. SQL Server, Exchange) disposent de programmes ESU séparés.

FAQ express

Windows Server 2016 : que se passe‑t‑il le 12 janvier 2027 ?
La fin du support étendu signifie plus aucune mise à jour de sécurité sans ESU. Vous devez migrer ou acheter ESU (on‑prem/Arc) — ou héberger dans Azure (ESU OS inclus).
Windows Server 2019 a‑t‑il besoin d’ESU aujourd’hui ?
Non. La fin du support étendu intervient le 9 janvier 2029. D’ici là, les correctifs de sécurité OS restent fournis sans abonnement ESU.
Les CALs changent‑elles ?
ESU n’affecte pas vos Client Access Licenses ; il s’agit d’un mécanisme pour recevoir des correctifs après EOS.
Peut‑on faire un upgrade direct 2016 → 2022/2025 ?
En pratique, la mise à niveau in‑place est généralement n→n+1. Beaucoup d’équipes préfèrent une réinstallation « propre » ou deux passes (2016→2019→2022/2025) pour réduire les risques.
Les ESU ajoutent‑ils des fonctionnalités ?
Non. ESU porte exclusivement sur les correctifs de sécurité.
Comment prouver la conformité ?
Conservez les rapports WSUS/ConfigMgr/Defender for Endpoint, les inventaires, et les attestations ESU (Azure Arc ou contrats VL/CSP).

Check‑list opérationnelle

✅ Inventaire complet : serveurs, rôles, dépendances, versions .NET/TLS, éditions et cœurs licenciés.
✅ Décision par serveur : upgrade, réinstallation, lift‑and‑shift Azure, retrait.
✅ Plan de tests : fonctionnalité, performances, sécurité (TLS, ciphers, GPO), sauvegardes.
✅ Fenêtres de maintenance et backout documentés.
✅ Gouvernance patching post‑migration (WSUS/Intune/Update Management) et surveillance (SIEM/EDR).
✅ Budget et approbations (licences cœurs, éventuels ESU, coûts d’hébergement).
✅ Communication utilisateurs et runbooks N1/N2/N3.

Modèles de communication

Message type aux parties prenantes

Objet : Fin de support Windows Server 2016/2019 — plan d’action

Bonjour,

Microsoft arrête le support étendu de Windows Server 2016 le 12/01/2027 et de Windows Server 2019 le 09/01/2029. Sans action, nous ne recevrons plus de correctifs de sécurité pour les serveurs concernés.

Plan proposé : mise à niveau vers Windows Server 2022/2025 ou migration Azure selon les cas. Les équipes projet vous contacteront pour planifier les fenêtres et tests. Objectif : sécuriser 100 % des serveurs avant les échéances, et éviter des achats ESU non planifiés.

Merci,
L’équipe Infrastructure

Dates clés à retenir

Windows Server 2016 : fin du support étendu le 12 janvier 2027.
Windows Server 2019 : fin du support étendu le 9 janvier 2029.

Sources : Microsoft Learn — pages cycle de vie Windows Server 2016/2019, Fixed Lifecycle Policy, aperçu ESU, FAQ, informations de version Windows Server.

Plan d’action recommandé en une page

Décider maintenant la stratégie par groupe de serveurs (upgrade, réinstall, lift‑and‑shift Azure, retrait).
Lancer un PoC sur un lot non critique en validant compatibilité applicative et sécurité.
Programmer les vagues de migration et sécuriser les fenêtres de maintenance et le backout.
Budgéter uniquement les ESU nécessaires (serveurs résiduels post‑projet) et envisager Azure Arc si on‑prem.
Documenter l’exploitation cible (patching, monitoring, sauvegardes, durcissement) et former les équipes.

Résumé exécutif

Jusqu’aux dates de fin de support étendu, les mises à jour de sécurité restent gratuites ; l’assistance Microsoft est payante. Après ces dates, la seule façon de continuer à patcher l’OS est ESU : inclus dans Azure, payant hors Azure (VL/CSP/Azure Arc). Pour optimiser sécurité et coûts, planifiez une mise à niveau vers Windows Server 2022/2025 ou migrez vers Azure si vous avez besoin de gagner du temps tout en restant protégé.

Annexes utiles

Rappels de terminologie

Support principal (Mainstream) : nouvelles fonctionnalités, correctifs non‑sécurité et sécurité, possibilité de demandes de changement.
Support étendu (Extended) : uniquement sécurité, assistance payante, pas de nouvelles fonctionnalités.
ESU (Extended Security Updates) : programme après la fin du support étendu, prolongeant uniquement les correctifs de sécurité.
LTSC : canal à long terme, 5 ans de support principal + 5 ans de support étendu.

Questions de conformité

Audit : tenez à jour l’inventaire des versions et les rapports de patching mensuels, ainsi que les justificatifs de couverture ESU.
Normes : ISO 27001/2, NIS2, DORA et exigences sectorielles imposent des systèmes supportés et corrigés ; l’inaction expose à des non‑conformités.
Assurance cyber : de plus en plus de polices exigent des OS en support ou l’équivalent (ESU). Documentez vos plans et exemptions.

Bonnes pratiques de test

Établissez une batterie de tests applicatifs reproductibles (scripts, tests de non‑régression, fumigation IIS/ASP.NET, connectivité SQL/LDAP).
Validez les performances (I/O, CPU, mémoire) après upgrade, notamment sur les rôles fichiers et Hyper‑V.
Vérifiez les journaux (Event Viewer) et la santé des services (Services, sc.exe), ainsi que la conformité GPO.

Indicateurs à suivre après migration

Taux de conformité patching (≥ 95 % sous 14 jours).
Nombre de serveurs hérités restants (objectif : 0 avant EOS 2016 / < x% avant EOS 2019).
MTTR incidents post‑upgrade et incidents récurrents.
Coût total (licences, hébergement, ESU résiduels) vs scénario inertiel.

En bref : Windows Server 2016 sort du support le 12 janvier 2027 et Windows Server 2019 le 9 janvier 2029. Profitez du temps restant pour migrer vers 2022/2025 ou basculer temporairement vers Azure pour bénéficier d’ESU inclus. Les ESU on‑prem existent (VL/CSP/Azure Arc) mais doivent être un filet, pas une stratégie.