Win10 SMB 访问群晖 NAS 提示"密码错误"(密码明明是对的)— 根因与四种解法

现象

Win + R 输入 \\NAS_IP,弹出登录框,输完用户名密码,提示**“用户名或密码不正确”**。

但用同一个账号在群晖 Web 后台、DSM 控制面板、Synology Assistant、SSH 上都能登录——密码肯定是对的。

根因(常见误区纠正)

这不是"密码错",是 NTLM 认证协议协商失败:

两边协议不一致 → 握手失败 → Windows 提示"密码错"(误导)。

💡 常见误区:网上很多文章说"Win10 只支持 SMB1",这是错的。Win10 一直支持 SMB2/SMB3,SMB1 在 Win8 后默认禁用。真正的兼容问题是 NTLM 版本 不是 SMB 版本。

但 SMB1 禁用会顺带禁用 NTLMv1 协商,所以表现上像是 SMB1 问题。

方案一(推荐):启用群晖 NTLMv2 认证

改服务端,不动客户端——最安全最稳。

1. 群晖 DSM → 控制面板 → 文件服务 → SMB → 高级设置
2. 其他选项卡 → 找到 “最大 SMB 协议” 和 “最小 SMB 协议”,改为:
   • 最小 SMB 协议:SMB2
   • 最大 SMB 协议:SMB3
3. 传输加密模式 选 “自动”(让客户端和服务端协商加密)
4. 保存,无需重启

✅ 这是 2026 年的推荐姿势:服务端主动适配现代协议,所有 Win10/11/macOS/Linux 客户端都能用。

方案二:Windows 客户端降级 NTLM(兼容老群晖)

如果群晖是 DSM 6.x 老版本,改不了 SMB 设置(没这选项),从客户端降级:

路径 A:本地安全策略(Win10 家庭版没有这工具)

Win + R → secpol.msc → 回车

进入 本地安全设置 → 安全设置 → 本地策略 → 安全选项:

右侧找到 “网络安全:LAN Manager 验证级别”,双击改为:

仅发送 NTLMv2 响应 \ 拒绝 LM 和 NTLM

即 NTLMv2 only——和 Win10 默认一致,不是真的"降级",是确保显式设置正确。

路径 B:注册表(Win10 家庭版 / 没有 secpol 的场景)

Win + R → regedit → 回车

展开:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

删除 LmCompatibilityLevel 这个值(如果存在)。

删除 = 回到默认值,而不是改某个具体值。如果改了之后反而报"密码错",把这个键删了恢复默认试试。

方案三:群晖强制启用 NTLMv1(最后兜底)

仅当方案一/二都失败时使用(NTLMv1 已不安全,容易遭中间人攻击):

1. DSM → 控制面板 → 文件服务 → SMB → 高级设置 → 其他

2. 勾选 “启用 NTLMv1 验证”

3. 保存

⚠️ 不推荐。NTLMv1 协议本身有已知漏洞,微软和群晖都在弃用它。

方案四:绕开 SMB 用其他协议(终极方案)

如果认证问题搞不定,完全换协议:

💡 个人推荐:公司内部用 SMB,个人小文件用 Synology Drive 或 RaiDrive(WebDAV)。

故障排查速查

操作清单(照抄版)

[方案一] DSM 控制面板 → 文件服务 → SMB → 高级设置
        → 其他 → 最小 SMB2 / 最大 SMB3 / 加密自动
        → 保存

[验证]  Win + R → \\NAS_IP → 用账号登录
        → 成功:问题解决
        → 失败:进入方案二

[方案二] gpedit.msc 或 secpol.msc
        → 本地策略 → 安全选项
        → 网络安全:LAN Manager 验证级别
        → NTLMv2 only
        → gpupdate /force 立即生效

[兜底]  DSM → 启用 NTLMv1(不推荐)
[终极]  改用 WebDAV / Synology Drive

相关阅读

• Samba 新建部门共享目录实战 — Linux 服务端的 SMB 配置参考