SMB1升级到SMB2时，旧客户端无法连接怎么办？

一、现象层：协议禁用后的典型故障表征

• Windows XP客户端映射网络驱动器时弹出“找不到网络路径”，事件查看器中无SMB相关日志（因连接在Negotiate阶段即被拒绝）
• POS终端发起NET USE \\NAS\share返回错误代码0x80070035（The network path was not found），Wireshark抓包显示TCP三次握手成功但无SMB协商帧
• NAS设备（如Synology DSM 7.x或QNAP QTS 5.1+）启用“仅允许SMB2/3”后，旧设备ARP请求正常但无后续SMB Session Setup Request
• Windows Server 2003客户端在net view \\server时超时，且sc query lanmanworkstation显示服务状态为Running——排除本地服务故障

二、协议栈层：SMB版本协商机制的底层断点分析

当SMB服务器禁用SMB1后，其SMB Negotiate Protocol Request响应仅返回SMB 2.002/SMB 2.1/SMB 3.x支持列表。而Windows XP（SMB1-only）在收到不含NT LM 0.12的响应后，主动终止连接——这是RFC 2094与MS-SMB规范定义的合规行为，非Bug。

三、架构层：四类兼容性过渡方案对比矩阵

四、实施层：生产环境验证过的最小可行配置

1. 在Windows Server 2019上部署samba-4.18.6作为SMB1桥接节点，配置/etc/samba/smb.conf关键段：

[global]
   server min protocol = NT1
   server max protocol = SMB3_11
   bind interfaces only = yes
   interfaces = eth0:10.10.200.10/24  # 专用SMB1 VLAN
   smb ports = 445

[legacy-share]
   path = /srv/legacy
   read only = no
   guest ok = yes
   veto files = /.*/.DS_Store/

五、治理层：遗留系统兼容性生命周期管理框架

• 资产测绘：使用nmap -p445 --script smb-protocols批量扫描全网终端SMB能力，生成smb1_only.csv清单
• 风险分级：按行业合规要求（如HIPAA §164.308、PCI-DSS v4.0 Req 4.1）标注设备不可替代性等级（L1-L4）
• 熔断机制：在防火墙策略中对SMB1流量设置QoS限速（≤100Kbps/会话）并触发SIEM告警，防止横向移动利用
• 退出路线图：与设备厂商签署固件升级SLA（如GE Healthcare要求2025Q3前提供SMB2.1固件补丁）