Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục
Banner for article "Windows Server 2016 End of Support: Dates, ESU and Your Next Move", bearing article title, TSplus Remote Access logos and website, and illustration.

Windows Server 2016 đang tiến gần đến thời hạn hỗ trợ mở rộng của Microsoft. Thời hạn đó không chỉ là một ngày trên trang vòng đời: nó ảnh hưởng đến việc vá lỗi, mức độ rủi ro, tư thế tuân thủ và khả năng tồn tại lâu dài của ứng dụng vẫn phụ thuộc vào nền tảng này.

Hướng dẫn này tóm tắt ngày kết thúc hỗ trợ của Windows Server 2016, giải thích về Windows Server 2016 ESU, phác thảo các lộ trình di chuyển cho môi trường SMB và hybrid, và cung cấp một cách thực tiễn để quyết định ứng dụng cũ nào nên hiện đại hóa so với việc tiếp tục chạy an toàn trong quá trình chuyển đổi.

Ngày kết thúc hỗ trợ Windows Server 2016 và các kiến thức cơ bản về vòng đời

Hỗ trợ chính thống vs hỗ trợ mở rộng

Chính sách Vòng đời Cố định của Microsoft thường cung cấp một khoảng thời gian hỗ trợ chính thống tiếp theo là hỗ trợ mở rộng. Hỗ trợ chính thống bao gồm các cải tiến tính năng và phạm vi hỗ trợ rộng hơn, trong khi hỗ trợ mở rộng tập trung vào các bản cập nhật bảo mật và sửa lỗi quan trọng hơn là các khả năng mới.

Ngày kết thúc hỗ trợ chính thức của Windows Server 2016

Ngày kết thúc hỗ trợ của Windows Server 2016 (kết thúc hỗ trợ mở rộng) là 12 tháng 1, 2027 Microsoft liệt kê ngày này trong hồ sơ vòng đời chính thức cho Windows Server 2016.

Điều gì xảy ra sau khi kết thúc hỗ trợ?

Bảo mật, tuân thủ và tác động hoạt động

Sau 12 tháng 1, 2027 Windows Server 2016 không còn nhận được các bản cập nhật bảo mật định kỳ hoặc hỗ trợ sản phẩm theo chu kỳ tiêu chuẩn. Điều này chuyển trách nhiệm cho tổ chức để hoặc là di chuyển, áp dụng một tùy chọn bảo hiểm trả phí, hoặc chấp nhận sự gia tăng rủi ro về các lỗ hổng và các phụ thuộc không được hỗ trợ.

Về mặt thực tiễn, "kết thúc hỗ trợ" thường xuất hiện nhanh chóng ở ba nơi:

  • Tình trạng bảo mật: các bản vá thiếu trở thành một tồn đọng ngày càng tăng của rủi ro đã biết.
  • Kiểm toán và bảo hiểm: nhiều khung và chính sách yêu cầu phần mềm được hỗ trợ.
  • Tính tương thích của nhà cung cấp: các phiên bản mới của ứng dụng và tác nhân ngừng kiểm tra với các tiêu chuẩn máy chủ cũ hơn.

Tại sao "nó vẫn hoạt động" không phải là một chiến lược

Hầu hết các sự cố kết thúc hỗ trợ không phải là sự cố ngừng hoạt động ngay lập tức. Cơn đau đến từ “các tác động thứ cấp”: một sự cố bảo mật liên quan đến một lỗ hổng chưa được vá, một phiên bản khách hàng mới không thể kết nối, hoặc một công cụ giám sát/bảo mật ngừng hỗ trợ. Khoảng thời gian càng lâu từ bản cập nhật được hỗ trợ cuối cùng, các sự cố này càng tích lũy nhiều hơn.

Các thời hạn liên quan mà bạn không nên bỏ qua: Windows Server 2012 và 2012 R2

Hiện tại 2012 và 2012 R2 đang ở đâu

Windows Server 2012 và Windows Server 2012 R2 đã hết hỗ trợ vào 10 tháng 10, 2023 , và Microsoft định vị Cập nhật Bảo mật Mở rộng như cầu nối cho tối đa ba năm bổ sung.
Đối với các tổ chức trên ESU, các mục trong vòng đời của Microsoft cho thấy ESU Năm 3 kết thúc vào ngày 13 tháng 10 năm 2026 cho cả Windows Server 2012 và 2012 R2.

Điều đó có nghĩa là nhiều đội ngũ CNTT có một "thời gian xếp chồng":

  • Cửa sổ ESU cuối cùng cho 2012 / 2012 R2 sẽ đóng vào tháng 10 năm 2026.
  • Hỗ trợ mở rộng của Windows Server 2016 sẽ kết thúc vào tháng 1 năm 2027.

Cách điều này ảnh hưởng đến thứ tự nâng cấp

Nếu môi trường của bạn chứa sự kết hợp giữa 2012/2012 R2 và 2016, thứ tự là rất quan trọng. Một cách tiếp cận SMB phổ biến là di chuyển các máy chủ cũ nhất trước (2012/2012 R2), sau đó sử dụng những bài học đã học để tăng tốc kế hoạch 2016. Điều này cũng giảm khả năng "phụ thuộc cứng" vào các hệ thống cũ chặn lại các giai đoạn sau của quá trình di chuyển 2016 của bạn.

Giải thích về Windows Server 2016 ESU

Những gì ESU bao gồm và những gì nó không bao gồm

Cập nhật Bảo mật Mở rộng (ESU) là một chương trình trả phí nhằm làm cầu nối cuối cùng cho các máy chủ không thể nâng cấp trước thời hạn hỗ trợ kết thúc. Microsoft mô tả ESU là cung cấp các bản cập nhật bảo mật (thường là "quan trọng" và "cần thiết") trong một khoảng thời gian giới hạn, không phải phát triển tính năng hay một lộ trình hiện đại hóa đầy đủ.

Blog IT Pro của Microsoft rõ ràng nêu rằng nếu bạn không thể nâng cấp Windows Server 2016 bởi 12 tháng 1, 2027 ESU có thể được mua trong thời gian lên đến ba năm, với thông tin chi tiết về giá cả và tính khả dụng sẽ được cung cấp sau.

ESU so với việc di chuyển khối lượng công việc lên Azure

Microsoft cũng nhấn mạnh rằng việc di chuyển các khối lượng công việc bị ảnh hưởng sang Azure có thể thay đổi cách ESU được cung cấp và quản lý, và rằng ESU là một mạng lưới an toàn chuyển tiếp chứ không phải là một điểm đến lâu dài. Lựa chọn đúng phụ thuộc vào việc các rào cản của bạn là kỹ thuật (tính tương thích của ứng dụng), vận hành (thời gian ngừng hoạt động) hay tài chính (chu kỳ làm mới).

Đường dẫn di chuyển cho môi trường SMB và hybrid

Nâng cấp tại chỗ so với di chuyển song song

Hầu hết các môi trường Windows Server 2016 rơi vào một trong hai loại di cư mẫu:

Nâng cấp tại chỗ

Điều này có thể nhanh hơn trên giấy, nhưng nó giữ lại cấu hình, trình điều khiển và "trôi dạt" lịch sử. Thông thường, tốt nhất là khi máy chủ đơn giản (một vai trò, tích hợp tối thiểu) và nhà cung cấp ứng dụng hỗ trợ một lộ trình nâng cấp tại chỗ.

2. Di chuyển song song

Điều này thường an toàn hơn cho các khối lượng công việc quan trọng đối với doanh nghiệp: xây dựng một máy chủ mới được hỗ trợ, di chuyển vai trò/dữ liệu/ứng dụng, chuyển đổi, sau đó ngừng hoạt động phiên bản cũ. Thực hiện song song giảm thiểu rủi ro quay lại và giúp dễ dàng hơn trong việc kiểm tra quy trình xác thực, quy tắc tường lửa và hiệu suất dưới tải.

Lập bản đồ và xác thực phụ thuộc ứng dụng

Trước khi chọn một con đường, hãy lập bản đồ các phụ thuộc ở hai cấp độ:

  • Các phụ thuộc kỹ thuật: yêu cầu phiên bản hệ điều hành, môi trường .NET/Java, phiên bản cơ sở dữ liệu, nhu cầu driver/USB, phụ thuộc danh tính.
  • Các phụ thuộc hoạt động: ai sử dụng ứng dụng, từ đâu, trong khoảng thời gian nào, và "sự cố" trông như thế nào.

Một phương pháp đơn giản nhưng hiệu quả là xếp hạng từng ứng dụng theo:

  • Tính quan trọng của doanh nghiệp (cao/trung bình/thấp)
  • Khả năng thay thế (dễ/trung bình/khoảng)
  • Cải thiện độ ma sát (thấp/cao)

Ma trận đó sẽ cho bạn thấy ứng dụng nào là "kẻ giết thời gian" của bạn và máy chủ nào có thể di chuyển nhanh chóng.

Các ứng dụng kế thừa: khi nâng cấp hệ điều hành kích hoạt một "thuế gia hạn ứng dụng"

Một khung quyết định đơn giản để giữ lại hoặc thay thế ứng dụng

Các doanh nghiệp vừa và nhỏ thường phải đối mặt với một chi phí ẩn:

Nâng cấp hệ điều hành buộc phải nâng cấp các ứng dụng kinh doanh "đã qua sử dụng" vẫn thực hiện công việc, nhưng không còn được bán, không còn được hỗ trợ hoặc tốn kém để hiện đại hóa. Quyết định nên rõ ràng, không phải ngẫu nhiên.

Sử dụng khung này:

  • Giữ (tạm thời): giá trị kinh doanh độc đáo, hành vi ổn định, mô hình sử dụng rõ ràng, rủi ro được kiểm soát.
  • Thay thế (dự kiến): nhà cung cấp ngừng hoạt động, các vấn đề thường gặp, mối quan tâm về bảo mật hoặc các tính năng thiếu mà doanh nghiệp hiện cần.
  • Rút lui (nhanh): sử dụng thấp, chức năng trùng lặp hoặc khó bảo mật.

Web-enabling và xuất bản ứng dụng kế thừa như một chiến lược chuyển tiếp

Khi ứng dụng tự nó là rào cản, một chiến lược chuyển đổi thực tiễn là giữ cho ứng dụng hoạt động trong một môi trường được kiểm soát, trong khi hiện đại hóa cách người dùng truy cập vào nó. Điều này có thể giảm thiểu sự phân tán trên máy tính để bàn, đơn giản hóa việc truy cập cho người dùng từ xa và giúp bạn loại bỏ các phụ thuộc vào khách hàng cũ.

TSplus Remote Access được thiết kế cho đúng danh mục này: xuất bản các ứng dụng Windows (và máy tính để bàn khi cần) để người dùng có thể tiếp cận các ứng dụng kế thừa thông qua việc cung cấp từ xa có kiểm soát, bao gồm các tùy chọn truy cập dựa trên trình duyệt và các luồng xác thực tập trung như đăng nhập một lần, với MFA tùy chọn tùy thuộc vào cấu hình của bạn. Đây không phải là sự thay thế cho việc vá lỗi hoặc thiết kế bảo mật tốt, nhưng nó có thể là một cầu nối thực tiễn khi "nâng cấp hệ điều hành" sẽ buộc phải "nâng cấp mọi ứng dụng" ngay lập tức.

Giảm rủi ro trong khi bạn lập kế hoạch: phơi bày RDP và tăng cường truy cập từ xa

Các mẫu lộ diện RDP phổ biến dẫn đến sự cố

Windows Server 2016 không trở nên không an toàn qua đêm, nhưng việc tiếp xúc với remote access trở nên khó bảo vệ hơn khi thời điểm kết thúc hỗ trợ đến gần. Các mẫu rủi ro cao phổ biến nhất là:

  • RDP trực tiếp tiếp xúc với internet công cộng
  • Kiểm soát thông tin đăng nhập yếu hoặc mật khẩu đã sử dụng lại
  • Ghi log và cảnh báo không nhất quán về hoạt động đăng nhập
  • Tài khoản có quyền truy cập quá mức được sử dụng cho việc truy cập hàng ngày

Các biện pháp thực tiễn để áp dụng ngay lập tức

Nếu Windows Server 2016 sẽ vẫn hoạt động trong thời gian di chuyển, hãy tập trung vào những chiến thắng nhanh chóng giúp giảm bề mặt tấn công:

  1. Loại bỏ sự tiếp xúc công khai: tránh RDP đầu vào trực tiếp từ internet; sử dụng một cổng Mô hình truy cập VPN hoặc môi giới.
  2. Thắt chặt danh tính: thực thi quyền tối thiểu và các biện pháp xác thực hiện đại ở bất cứ đâu có thể.
  3. Truy cập phân đoạn: hạn chế quyền truy cập quản lý theo vị trí mạng và vai trò.
  4. Cải thiện khả năng hiển thị: đảm bảo rằng các lần đăng nhập thành công và thất bại được thu thập tập trung và được xem xét.

Các bước này giúp theo hai cách: chúng giảm thiểu rủi ro ngay lập tức và tạo ra "vệ sinh di cư" tốt hơn, vì các mẫu truy cập hiện đại thường được chuyển tiếp sang nền tảng mới.

Nơi TSplus phù hợp

TSplus Remote Access cho việc công bố ứng dụng và truy cập web

Đối với các nhóm cố gắng giữ cho các ứng dụng chính luôn sẵn có trong khi hiện đại hóa cơ sở hạ tầng, việc công bố ứng dụng có thể là sự khác biệt giữa một bản nâng cấp vội vàng và một quá trình chuyển đổi có kiểm soát. TSplus Remote Access hỗ trợ cách tiếp cận này với các tùy chọn phân phối từ xa có thể giữ cho các ứng dụng cũ vẫn sử dụng được mà không yêu cầu mỗi điểm cuối phải chạy các ứng dụng nặng hoặc duy trì các cấu hình dễ bị hỏng.

Công ty mô hình cấp phép (vĩnh viễn hoặc đăng ký) và các lựa chọn triển khai (tự lưu trữ hoặc phù hợp với sở thích lưu trữ của bạn) cũng có thể quan trọng đối với kế hoạch SMB, vì nó cho phép tổ chức chọn xem "cây cầu" là ngắn hạn hay trở thành một phần của ngăn xếp phân phối ứng dụng lâu dài.

Các tiện ích mở rộng về bảo mật và hoạt động hỗ trợ quá trình chuyển đổi

Khi bạn loại bỏ các máy chủ cũ, ưu tiên là các biện pháp bảo mật nhất quán và khả năng hiển thị hoạt động rõ ràng. Tùy thuộc vào nhu cầu, TSplus Advanced Security, TSplus Remote Support và TSplus Server Monitoring bổ sung cho quá trình chuyển đổi bằng cách tăng cường kiểm soát truy cập, đơn giản hóa quy trình hỗ trợ và cải thiện. giám sát phạm vi trên các môi trường hỗn hợp .

Một thời gian biểu thực tế và danh sách kiểm tra để hoàn thành trước ngày 12 tháng 1 năm 2027

90 ngày còn lại: xây dựng kế hoạch của bạn

  • Xác nhận mọi phiên bản Windows Server 2016, vai trò và chủ sở hữu.
  • Xác định các máy chủ nào có quyền truy cập quản lý bị lộ ra internet.
  • Xây dựng ma trận phụ thuộc ứng dụng và xếp hạng “rào cản lớn”.
  • Quyết định: theo chỗ vs bên cạnh cho mỗi loại khối lượng công việc.

180 ngày còn lại: thực hiện các cuộc di cư thử nghiệm

  • Di chuyển các máy chủ có rủi ro thấp trước để chứng minh quy trình.
  • Xác thực xác thực, sao lưu, giám sát và các bước khôi phục.
  • Đối với các ứng dụng cũ chặn việc di chuyển, hãy quyết định xem có nên thay thế, cách ly hoặc xuất bản và kiểm soát quyền truy cập như một cầu nối hay không.

12 tháng còn lại: hoàn tất và ngừng hoạt động

  • Di chuyển các khối lượng công việc quan trọng cho doanh nghiệp với các chuyển giao đã được tập dượt.
  • Giảm thiểu "trường hợp đặc biệt" bằng cách chuẩn hóa các phương pháp truy cập.
  • Ngừng hoạt động hoặc cách ly các hệ thống Windows Server 2016 còn lại, và chỉ sử dụng ESU khi có một trở ngại được tài liệu hóa.

Ngày 12 tháng 1 năm 2027 là thời điểm cố định. Kết quả tốt nhất không chỉ đơn giản là “một hệ điều hành mới hơn”, mà là một môi trường sạch hơn, dễ hỗ trợ hơn, nơi các ứng dụng quan trọng có thể truy cập, an toàn và không còn phụ thuộc vào một máy chủ cũ kỹ duy nhất.

Kết luận

Hỗ trợ Windows Server 2016 kết thúc vào 12 tháng 1, 2027 là một thời hạn cố định với những hậu quả thực tiễn cho an ninh, tuân thủ và khả năng tương thích của nhà cung cấp. Cách tiếp cận bền vững nhất là coi năm 2026 là khoảng thời gian thực hiện: kiểm kê khối lượng công việc, lập bản đồ các phụ thuộc ứng dụng và di chuyển theo từng giai đoạn để các hệ thống cuối cùng không bị vội vàng trong quý 4.

Đối với các doanh nghiệp vừa và nhỏ và các đội ngũ hybrid, phần khó khăn nhất thường không phải là hệ điều hành mà là ứng dụng kế thừa gắn liền với nó. Khi một bản nâng cấp hệ điều hành kích hoạt một "thuế gia hạn ứng dụng" tốn kém hoặc gây rối, hãy xác định những gì cần giữ lại, giảm thiểu rủi ro và sử dụng phương pháp phân phối ứng dụng có kiểm soát để giữ cho các công cụ quan trọng luôn sẵn có trong khi quá trình hiện đại hóa diễn ra. Với một thời gian biểu rõ ràng, truy cập từ xa được bảo mật và một kế hoạch cho các ứng dụng kế thừa, Windows Server 2016 có thể được nghỉ hưu đúng hạn mà không làm gián đoạn hoạt động kinh doanh.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

back to top of the page icon