Windows Server 2016 上 Docker 容器无法启动的系统性排查与解决指南

Windows Server 2016 是微软首批原生支持 Windows 容器的服务器操作系统，但因其内核兼容性、容器运行时配置及 Hyper-V 隔离机制的特殊性，Docker 容器常出现“无法启动”“超时退出”“OCI runtime create failed”等典型错误。本文将基于真实运维场景，梳理从基础环境验证到隔离模式调优的完整排查路径，帮助系统管理员快速定位并解决容器启动失败问题。

一、确认前提条件是否满足

Docker for Windows Server 2016 依赖特定组件：Windows 功能中的“Containers”和“Hyper-V”必须启用，且系统需为 Long-Term Servicing Channel（LTSC）版本（如 1607，版本号 14393.x）。首先验证核心服务状态：

# 检查 Windows 功能是否已启用
Get-WindowsOptionalFeature -Online -FeatureName Containers, Microsoft-Hyper-V

# 验证 Docker 服务是否运行
Get-Service docker | Select-Object Name, Status, StartType

# 查看当前系统版本（必须为 14393.x 或更高 LTSC 版本）
Get-ComputerInfo | Select-Object WindowsBuildLabEx, OsHardwareAbstractionLayer

若 Containers 或 Microsoft-Hyper-V 显示为 Disabled，需以管理员身份执行：

# 启用必要功能（需重启）
Enable-WindowsOptionalFeature -Online -FeatureName Containers, Microsoft-Hyper-V -All -NoRestart
Restart-Computer -Force

二、检查 Docker 引擎配置与日志

容器启动失败往往源于引擎配置不匹配。Server 2016 默认使用 windowsfilter 存储驱动，但若磁盘空间不足或元数据损坏，会导致创建失败。检查配置文件 C:\ProgramData\docker\config\daemon.json 是否存在异常项：

{
  "storage-driver": "windowsfilter",
  "exec-opts": ["native.cgroupdriver=none"],
  "experimental": false,
  "metrics-addr": "127.0.0.1:9323"
}

重点验证：

• storage-driver 不得设为 overlay2（Server 2016 不支持）；
• cgroupdriver 必须为 none（Windows 容器不使用 cgroups）；
• 确保 C:\ProgramData\docker 所在卷剩余空间 ≥5GB。

查看引擎级错误日志：

# 获取最近 100 行 Docker 服务日志
Get-WinEvent -LogName 'Application' -FilterXPath '*[System[(EventID=1)]]' -MaxEvents 100 |
  Where-Object { $_.ProviderName -eq 'docker' } |
  Format-List TimeCreated, Message

常见日志线索包括：“failed to start daemon: could not select storage driver” 或 “hcsshim::CreateComputeSystem failed”。

三、隔离模式适配：process vs. hyperv

Server 2016 支持两种容器隔离模式：

• process：轻量级，共享宿主机内核，要求镜像与宿主机版本严格匹配；
• hyperv：强隔离，通过轻量虚拟机运行，兼容性更广，但性能略低。

默认 docker run 使用 process 模式。若启动失败，优先尝试切换至 hyperv：

# 拉取支持 hyperv 的 Nano Server 镜像（需对应版本）
docker pull mcr.microsoft.com/windows/nanoserver:10.0.14393.4466

# 显式指定 hyperv 隔离运行
docker run --isolation=hyperv -it mcr.microsoft.com/windows/nanoserver:10.0.14393.4466 cmd

# 查看当前支持的隔离模式
docker info | findstr "Isolation"

注意：hyperv 模式要求宿主机 BIOS 中开启虚拟化（Intel VT-x / AMD-V），且未被其他软件（如 VMware Workstation）独占占用。

四、镜像版本兼容性校验

Windows 容器镜像具有严格的 OS 版本绑定。Server 2016（14393）仅能运行构建于相同或更低 Build 号的镜像。使用 docker image inspect 提取镜像 OS 版本：

# 检查镜像兼容性（关键字段：OsVersion）
docker image inspect mcr.microsoft.com/windows/servercore:ltsc2016 |
  ConvertFrom-Json |
  Select-Object -ExpandProperty OsVersion

输出应为 10.0.14393.x。若返回 10.0.17763.x（Server 2019），则该镜像无法在 Server 2016 运行。此时需明确指定 LTSC 2016 标签：

# 正确拉取 Server 2016 兼容镜像
docker pull mcr.microsoft.com/windows/servercore:ltsc2016
docker pull mcr.microsoft.com/windows/nanoserver:ltsc2016

五、HCSShim 故障与重置方案

当 hcsshim 组件异常（如句柄泄漏、计算系统残留），可导致新建容器始终失败。安全重置步骤如下：

# 停止 Docker 服务
Stop-Service docker

# 清理 HCS 计算系统（强制移除所有残留容器/沙盒）
hcsdiag list | ForEach-Object {
  if ($_ -match '(\{[^\}]+\})') {
    hcsdiag destroy $matches[1]
  }
}

# 删除 Docker 数据目录（备份前请确认无重要数据）
Remove-Item -Recurse -Force "C:\ProgramData\docker"

# 重启服务（自动重建数据目录）
Start-Service docker

执行后首次 docker run 可能稍慢，属正常初始化行为。

六、验证与持续监控

完成修复后，执行最小化验证：

# 运行健康检查容器
docker run --rm -it --isolation=hyperv mcr.microsoft.com/windows/nanoserver:ltsc2016 ping -n 2 127.0.0.1

# 检查容器生命周期（应显示 Exited 0）
docker ps -a | findstr "nanoserver"

建议将以下命令加入日常巡检脚本：

# 综合健康检查（返回 0 表示正常）
$checks = @(
  (Get-Service docker).Status -eq 'Running',
  (docker info 2>$null) -ne $null,
  (docker run --rm --isolation=hyperv mcr.microsoft.com/windows/nanoserver:ltsc2016 cmd /c "echo OK" 2>$null) -eq 'OK'
)
$checks -notcontains $false

Windows Server 2016 的 Docker 容器启动问题，本质是操作系统特性、运行时约束与镜像生态三者耦合的结果。唯有坚持“版本对齐优先、隔离模式降级、日志驱动排查”的原则，方能高效破局。随着 Server 2016 即将结束主流支持，建议在生产环境中同步规划向 Server 2019/2022 的平滑迁移，以获得更完善的容器运行时支持与长期安全维护保障。