OSなどのEOLは悩ましい問題ですね。
ただ、これから作ってお客様に納める（？）システムとしてはあまりにも余命が短い気がします。

EOLに関するリスクとしては以下のようなものがあります。
1.リプレイスや故障交換のとき新しいハードウェアにOSやドライバなどがマッチしない。
2.上記の問題のために容量増加やパフォーマンスに問題が出た場合の拡張性が乏しくなる。
3.セキュリティパッチが適用されないなどのリスクがある。
4.ブラウザなどユーザー環境が新しくなる中で新たに発生した問題に対処できない可能性がある。

これらのリスクを許容できるのであればそれでも良いと思いますが、
私がユーザーならもっと新しいアーキテクチャでの開発を望むでしょう。
特に1.に関しては、HWを更新できないということですので、致命的なリスクとなりえます。

しかし、案2の全て最新のものに置き換えるというのもリスクがあるというのはご指摘のとおりです。
私なら、この構成であればOS、SQLServerは新しいものに置き換えますね。古すぎます。.netFrameworkもバージョンアップを検討すると思います。

もう一つ、ユーザー側が許容するかが微妙なところですが、
折衷案として、仮想環境で構築するというのも一つの手だと思います。
上記の1、2に関してはクリアできるはずです。
社内システムのリプレイスであれば十分検討に値するでしょう。

スケールアップ拡張時にメモリ容量限界の問題がありますので、
仮想環境で構築するにしてもOS、DBともに64bitにするのが良いと思いますが、それほどパフォーマンスにこだわらないのであれば、割り切ってそのままいくというのも方法ではあります。

お疲れ様です。

メーカーのサポート期限というのは悩ましい問題ですね。

私の経験する限り、PKGメーカーでも普通にEOLが来ている製品ミドルウェアを対応バージョンと良い、現行のメジャーバージョンをのサポートとといわれることがあります。
（たとえば、未だにJDK4までの対応とか・・・）

開発メーカーはプログラムの安定動作が重きにしか考えないので、セキュリティとかそういった面が忘れられているケースがあります。

古い物を使うリスクを説明することが大事だと思います。
データーベースですから、ウイルス等のセキュリティ的な話などをされてはいかがでしょうか？
古くてぼろぼろな倉庫に大事な物は収めておきたくないと思います。
サポートのないDBサーバーは、警備のない鍵のかかったただの箱といった感じで、イメージしやすい形で説得されるといかがでしょうか？

弊社もそうですが、上層部がIT関係者でないため、なかなか難しいと思いますが、会社のリスクなると言うことを信じてがんばって説明をしてください。

私だったら．．．
「お客様向けシステム」というのが”お客に納品するシステム”か”お客が使用する（システムは社内にある）”かで多少、事情が変わりますが．．．
・お客に納入するシステムなら、すべて最新のものにします。たぶん”仮想化による旧ハードの延命”も行いません。
・お客が使用するシステムなら古いハードを生かして仮想化は考えますがアプリは最新にしますね。

どのようなリスクが発生するのかを、上司にうまく説明しにくく、
「お客様向けシステム」でのリスクは絶対に回避すべきです。障害がおきたらお金もそうですが”信用”を失ったら取り返せません。（「古い物を使いました」は言い訳にもなりません）

社内で使うシステムなら話は逆で古いものを生かして費用削減を狙います。（が　さすがにウチでもＳＱＬ２ｋは無いなあ）