适合企业的NAS网络存储服务器

群晖NAS更新到DSM 7.0,无法访问共享文件夹,如何处理?

2024年06月12日 | 教程中心

更新到DSM 7.0或以上版本后,您立即无法访问Synology NAS上的共享文件夹。此外,日志中心中的连接日志会显示以下日志条目:

User [xxx] from [x.x.x.x] failed to log in via [SMB] due to [NTLMv1 not permitted].

问题描述

您的客户端设备属于以下一个或两个:

  • 支持SMB1但不允许使用NTLMv2的Windows计算机
  • 仅支持SMB1但支持NTLMv2的旧版设备,如:
    • IP摄像机
    • 多功能打印机
    • 多媒体播放器(硬件或软件播放器)

解决方案

从DSM 7.0开始,为安全起见,NTLMv1验证被停用,仅允许使用NTLMv2。如果Windows计算机或旧版设备在DSM更新之前使用SMB1和NTLMv1,则需要调整设置以解决问题。

如果您了解这些风险,并且必须为Windows计算机或旧版设备使用SMB1,请按照本文中的步骤操作。

设置NAS上的最低SMB协议

警告:启用SMB1不安全,可能会使Synology NAS容易受到攻击。

  1. 执行以下操作之一:
    • DSM 7.0及以上版本:进入控制面板 > 文件服务 > SMB 。
    • DSM 6.2及以下版本:进入控制面板 > 文件服务 > SMB / AFP/ NFS 。
  2. SMB区域,单击高级设置
  3. 最小SMB协议设置为SMB1 。
  4. 根据您的具体情况,为Windows计算机旧版设备执行步骤。

调整Windows计算机上的设置

警告:启用SMB1和NTLMv1不安全,可能会使您的计算机容易受到攻击。

Windows XP(或更早版本)仅支持SMB1,某些Windows计算机可能已专门配置为仅使用SMB1和NTLMv1。强烈建议升级到Windows 10或更高版本,并在可能的情况下启用SMB2或SMB3 ,以确保数据保密性。

如果您要继续使用SMB1并更改为NTLMv2,则需要调整Windows计算机上的安全设置:

  1. 进入开始 > 运行(或按Windows + R)并在文本框中键入“ secpol.msc”。 1
    1.png
  2. 本地安全设置窗口中,进入左侧窗格中的安全设置 > 本地策略 > 安全选项
  3. 双击网络安全:右窗格中的LAN Manager验证级别2 。将设置更改为仅发送NTLMv2响应\拒绝LM和NTLM 。
    2.png
  4. 重新启动计算机以应用更改。

配置旧版设备的设置

警告:启用NTLMv1不安全,可能会使您的Synology NAS容易受到攻击。

大多数传统设备(如IP摄像机,多功能打印机,多媒体播放器)仅支持SMB1和NTLMv1,不允许自定义NTLM设置。为获得更好的安全性,建议更换旧设备或联系设备制造商以请求支持NTLMv2。

万不得已时,可以进入DSM > 控制面板 > 文件服务 > SMB > 高级设置 > 其他以勾选启用NTLMv1验证。这会降低安全级别,但允许旧设备通过NTLMv1进行验证。

如果升级Windows并进行必要调整后问题仍然存在,请参阅SMB/ AFP故障排除文章

注:

  1. Windows Home版不提供secpol.msc。请参阅为旧版设备配置设置部分以了解解决方法,或联系Microsoft以了解如何更改Windows Home Edition中的网络安全:LAN Manager验证级别设置。
  2. 有关更多详细信息,请参阅网络安全:LAN Manager验证级别
文章标签:

相关文章