SMB協(xié)議故障排除技術(shù)方法研究

摘要：隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)共享和文件傳輸已成為日常工作中不可或缺的一部分。服務(wù)器消息塊（Server Message Block）協(xié)議作為微軟Windows操作系統(tǒng)中廣泛使用的網(wǎng)絡(luò)文件共享協(xié)議，其穩(wěn)定性對(duì)企業(yè)運(yùn)營(yíng)至關(guān)重要。旨在通過(guò)對(duì)服務(wù)器消息塊協(xié)議在實(shí)際應(yīng)用中遇到的各類(lèi)故障進(jìn)行系統(tǒng)性分析，提供一套全面的故障排除方法和解決方案，以幫助信息技術(shù)專(zhuān)業(yè)人員快速定位并解決問(wèn)題，保障網(wǎng)絡(luò)環(huán)境的高效運(yùn)行。

關(guān)鍵詞：服務(wù)器消息塊；文件傳輸協(xié)議；網(wǎng)絡(luò)故障

一、前言

服務(wù)器消息塊（SMB）通信協(xié)議是微軟（Microsoft）和英特爾（Intel）在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通信協(xié)議[1]。SMB協(xié)議的目的是通過(guò)TCP/IP在兩個(gè)系統(tǒng)之間啟用遠(yuǎn)程文件系統(tǒng)訪問(wèn)。SMB是一個(gè)遵循客戶機(jī)服務(wù)器模式的協(xié)議，SMB服務(wù)器負(fù)責(zé)通過(guò)網(wǎng)絡(luò)提供可用的共享資源給SMB客戶機(jī)，服務(wù)器和客戶機(jī)之間通過(guò)TCP/IP協(xié)議進(jìn)行連接[2]。一旦服務(wù)器和客戶機(jī)之間建立了一個(gè)連接，客戶機(jī)就可以通過(guò)向服務(wù)器發(fā)送命令完成共享操作，如讀、寫(xiě)、檢索等。原始版本SMB1的帶寬效率低下，并且缺乏足夠的安全性[3]。后續(xù)的SMB版本通過(guò)內(nèi)置加密、SMB多通道和SMB直通等功能解決了這些問(wèn)題[4]。

SMB協(xié)議在企業(yè)網(wǎng)絡(luò)中的應(yīng)用極為廣泛，同時(shí)也面臨著各種故障和性能問(wèn)題的挑戰(zhàn)。SMB協(xié)議導(dǎo)致的網(wǎng)絡(luò)故障通常表現(xiàn)為無(wú)法訪問(wèn)共享文件、連接超時(shí)、認(rèn)證失敗等問(wèn)題。一般出現(xiàn)這類(lèi)故障時(shí)，要確保系統(tǒng)文件更新。與SMB相關(guān)的系統(tǒng)文件包括客戶端與服務(wù)器端兩部分，在客戶端%windir%＼system32＼Drivers下的二進(jìn)制文件有RDBSS.sys、MRXSMB.sys、MRXSMB10.sys、MRXSMB20.sys、MUP.sys等。在SMB服務(wù)器端%windir%＼system32＼Drivers下的二進(jìn)制文件有SRVNET.sys、SRV.sys、SRV2.sys、SMBdirect.sys等，其文件體系結(jié)構(gòu)如圖1所示[4]。

SMB客戶端和SMB服務(wù)器都有詳細(xì)的事件日志結(jié)構(gòu)，收集事件日志以幫助查找問(wèn)題的根本原因。

二、連接性問(wèn)題

目前，SMB采用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議和端口445，在客戶端與服務(wù)器通信之前需要三次握手，TCP協(xié)議管理數(shù)據(jù)傳輸。如果出現(xiàn)TCP 3-way handshake失敗，通常是由于防火墻設(shè)置不當(dāng)導(dǎo)致的流量阻塞。解決此問(wèn)題需要檢查本地和基礎(chǔ)設(shè)施中的防火墻設(shè)置，確保TCP端口445的流量未被阻止。此外，還需確認(rèn)SMB服務(wù)是否在監(jiān)聽(tīng)端口445，并檢查Windows防火墻是否屏蔽了445端口。

對(duì)于TCP SYN數(shù)據(jù)包到達(dá)SMB服務(wù)器，但SMB服務(wù)器不返回TCP SYN-ACK數(shù)據(jù)包的情況，使用netstat和Get-NetTcpConnection命令檢查端口監(jiān)聽(tīng)狀態(tài)，在TCP端口445上有一個(gè)監(jiān)聽(tīng)器應(yīng)該由SYSTEM進(jìn)程擁有，確保“服務(wù)器服務(wù)（Server service）”已啟動(dòng)并運(yùn)行。獲取場(chǎng)景追蹤，并查找WFP（Windows Filtering Platform）丟棄SMB流量（TCP端口445），或者如果啟用了Windows防火墻，則啟用防火墻日志記錄并查看是否記錄了丟棄，獲取WFP捕獲并查看哪個(gè)規(guī)則/程序正在丟棄流量。對(duì)于TCP SYN流量從未到達(dá)SMB服務(wù)器，必須調(diào)查網(wǎng)絡(luò)路徑上的設(shè)備，可以分析每個(gè)設(shè)備上捕獲的網(wǎng)絡(luò)跟蹤，以確定哪個(gè)設(shè)備正在阻止流量。

三、協(xié)商失敗

SMB3.0提高了SMB協(xié)議的性能、安全性、管理、備份和可用性。這些功能包括SMB直接、SMB多通道、SMB加密、遠(yuǎn)程卷影復(fù)制服務(wù)支持和客戶端訪問(wèn)的透明故障轉(zhuǎn)移[5]。SMB服務(wù)器從SMB客戶端接收SMB NEGOTIATE請(qǐng)求。連接超時(shí)并在60秒后重置，大約200微秒后可能會(huì)出現(xiàn)ACK消息。

協(xié)商失敗可能由SMB版本不匹配或客戶端不支持SMB over NetBIOS引起。解決此問(wèn)題需要檢查客戶端和服務(wù)器之間的SMB版本兼容性，并確保網(wǎng)絡(luò)配置正確。根據(jù)表1可以看到不同Windows版本最高可以協(xié)商出來(lái)的SMB協(xié)議[6]。

四、會(huì)話設(shè)置失敗

故障現(xiàn)象為SMB服務(wù)器從SMB客戶端接收SMB SESSION_SETUP請(qǐng)求，但無(wú)法響應(yīng)。會(huì)話設(shè)置失敗通常涉及Kerberos認(rèn)證問(wèn)題，當(dāng)SMB服務(wù)器從客戶端接收SMB SESSION_SETUP請(qǐng)求時(shí)，如果使用Kerberos進(jìn)行身份驗(yàn)證，可能會(huì)因?yàn)镵erberos流量在TCP端口88上出現(xiàn)問(wèn)題而導(dǎo)致會(huì)話設(shè)置失敗[7]。可以查看Kerberos流量，確保在獲取令牌時(shí)沒(méi)有錯(cuò)誤。

在SMB SESSION_SETUP請(qǐng)求中的安全Blob可能沒(méi)有發(fā)送正確的憑據(jù)，會(huì)導(dǎo)致會(huì)話設(shè)置失敗，檢查安全Blob以確認(rèn)發(fā)送了正確的憑據(jù)。此外，還需確保服務(wù)器有SPN記錄，并且在通過(guò)CNAME DNS記錄訪問(wèn)時(shí)，SMB簽名正常工作。如果在UNC路徑中使用了服務(wù)器的FQDN或NetBIOS名稱(chēng)，則應(yīng)使用Kerberos進(jìn)行身份驗(yàn)證。在協(xié)商響應(yīng)之后，將嘗試獲取服務(wù)器CIFS SPN的Kerberos票證。查看TCP端口88上的Kerberos流量，確保在獲取令牌時(shí)沒(méi)有Kerberos錯(cuò)誤[4]。此外，進(jìn)行以下檢查：

查看SMB SESSION_SETUP請(qǐng)求中的安全Blob，確保發(fā)送了正確的憑據(jù)；

嘗試禁用SMB服務(wù)器名稱(chēng)強(qiáng)化 （SmbServerName HardeningLevel = 0）；

確保SMB服務(wù)器在通過(guò)CNAME DNS記錄訪問(wèn)時(shí)具有SPN；

確保SMB簽名正常工作，對(duì)于較舊的非Windows操作系統(tǒng)設(shè)備尤其重要。

五、樹(shù)連接失敗

SMB樹(shù)連接失敗通常是由于網(wǎng)絡(luò)問(wèn)題、權(quán)限設(shè)置錯(cuò)誤或配置不當(dāng)?shù)仍蛞鸬摹＝鉀Q此問(wèn)題需要檢查共享是否存在于服務(wù)器上，并確認(rèn)磁盤(pán)和文件夾對(duì)共享是可訪問(wèn)的，同時(shí)確保憑據(jù)具有共享和NTFS訪問(wèn)權(quán)限。

檢查網(wǎng)絡(luò)連接，確保網(wǎng)絡(luò)連接正常，特別是SMB客戶端和服務(wù)器之間的連接。可以嘗試ping服務(wù)器IP地址或域名來(lái)測(cè)試網(wǎng)絡(luò)連通性。檢查SMB版本，確保SMB客戶端和服務(wù)器支持的版本兼容。如果電視、NAS或其他設(shè)備支持的SMB版本較低，可能需要調(diào)整設(shè)備的SMB版本設(shè)置。檢查共享路徑，確保指定的共享路徑存在且正確。如果路徑中包含中文或其他特殊字符，可能會(huì)導(dǎo)致連接失敗。嘗試使用英文路徑和避免使用特殊字符[8]。

調(diào)整安全設(shè)置，確保SMB服務(wù)器名稱(chēng)強(qiáng)化設(shè)置正確，可以嘗試禁用SMB服務(wù)器名稱(chēng)強(qiáng)化（SmbServerNameHardeningLevel = 0）[8]。查看日志文件，檢查SMB客戶端和服務(wù)器端的日志文件，查找具體的錯(cuò)誤信息，以幫助確定是客戶端問(wèn)題還是服務(wù)器端問(wèn)題。更新和補(bǔ)丁，確保SMB客戶端和服務(wù)器都是最新版本，并且安裝了所有必要的補(bǔ)丁。

六、其他改善SMB協(xié)議傳輸速度的方法

（一）大文件復(fù)制速度慢

1.嘗試使用微軟在Windows內(nèi)置的無(wú)緩沖輸入輸出（IO）的方式進(jìn)行文件復(fù)制（使用 xcopy /J 或 robocopy /J 命令）。

2.確保接收端縮放（Receive Side Scaling - RSS）配置正確。RSS 是一種用于提高網(wǎng)絡(luò)性能的技術(shù)，主要應(yīng)用于多處理器系統(tǒng)中的網(wǎng)絡(luò)接收處理。其核心原理是允許網(wǎng)絡(luò)適配器將接收到的網(wǎng)絡(luò)數(shù)據(jù)包分發(fā)到多個(gè)處理器核心上進(jìn)行處理，而不是只由一個(gè)核心來(lái)處理所有數(shù)據(jù)包。

3.測(cè)試硬盤(pán)存儲(chǔ)速度，因?yàn)镾MB協(xié)議傳輸速度首先會(huì)受計(jì)算機(jī)本地存儲(chǔ)速度限制。在測(cè)試過(guò)程中如果發(fā)現(xiàn)文件復(fù)制有時(shí)一開(kāi)始速度很快，隨后傳輸速度變慢。那么：

① 這種情況通常發(fā)生在初始復(fù)制是在緩存或緩沖中進(jìn)行的，要么在內(nèi)存中，要么在磁盤(pán)陣列（RAID）控制器的內(nèi)存緩存中。當(dāng)緩存耗盡時(shí)，就會(huì)迫使數(shù)據(jù)直接寫(xiě)入磁盤(pán)（Write-Through），而這會(huì)更慢。

② 使用Windows自帶的性能監(jiān)視器（Performance Monitor），查看存儲(chǔ)性能是否會(huì)隨時(shí)間下降，機(jī)器本身存儲(chǔ)瓶頸導(dǎo)致的SMB傳輸速度變慢。

③ 使用 RAMMap （SysInternals 工具）查看內(nèi)存中 “映射文件” 的使用量是否因可用內(nèi)存耗盡而停止增長(zhǎng)[9]。

4.在網(wǎng)絡(luò)日志抓包中查找是否存在數(shù)據(jù)包丟失的情況，因?yàn)榫W(wǎng)絡(luò)丟包可能會(huì)導(dǎo)致 TCP 擁塞控制機(jī)制進(jìn)行限流。

5.在SMB3 或更高版本的情況下，確保 SMB 多通道已啟用且正常工作。所謂多通道，就是在 Windows 系統(tǒng)中，當(dāng)進(jìn)行 SMB 文件傳輸時(shí)，系統(tǒng)能夠自動(dòng)檢測(cè)到多個(gè)可用的網(wǎng)絡(luò)適配器，并利用這些網(wǎng)絡(luò)適配器同時(shí)建立多個(gè)網(wǎng)絡(luò)連接來(lái)傳輸數(shù)據(jù)，從而實(shí)現(xiàn)帶寬聚合和容錯(cuò)功能。

6.如果SMB 客戶端遇到的問(wèn)題，在 SMB 中啟用更大的最大傳輸單元 （MTU，Maximum Transmission Unit），將注冊(cè)表中的 EnableLargeMtu 設(shè)置為 1。MTU指的是網(wǎng)絡(luò)中一個(gè)數(shù)據(jù)幀或數(shù)據(jù)包能夠攜帶的最大數(shù)據(jù)量。一般情況下，以太網(wǎng)的默認(rèn) MTU 值是 1500 字節(jié)。若使用更大的 MTU 值，每次傳輸?shù)臄?shù)據(jù)量就會(huì)增多，這樣可以減少數(shù)據(jù)傳輸時(shí)的封裝開(kāi)銷(xiāo)，進(jìn)而提高傳輸效率。

7.還是在SMB 客戶端遇到問(wèn)題的情況下，禁用帶寬限制，將注冊(cè)表中的 EnableBandwidthThrottling 設(shè)置為禁用狀態(tài)時(shí)（設(shè)置為 0），系統(tǒng)就不會(huì)對(duì) SMB 客戶端的網(wǎng)絡(luò)帶寬使用進(jìn)行限制。單個(gè)或多個(gè) SMB 連接就可以占用大部分的網(wǎng)絡(luò)帶寬。

（二）小文件復(fù)制速度慢

“大量小文件”定義為數(shù)百、數(shù)千甚至數(shù)百萬(wàn)個(gè)小于 1 MB 的文件。 SMB協(xié)議傳輸速度慢的情況最常出現(xiàn)在存在大量小文件的時(shí)候。在一定程度上，這是預(yù)期的并且眾所周知的現(xiàn)象[10]。SMB 協(xié)議必須執(zhí)行多個(gè)協(xié)議步驟才能創(chuàng)建文件，文件創(chuàng)建在性能方面是一項(xiàng) “代價(jià)高昂的操作”。在傳輸任何數(shù)據(jù)之前，SMB 必須執(zhí)行多個(gè)協(xié)議操作來(lái)創(chuàng)建文件。文件系統(tǒng)本身在創(chuàng)建文件時(shí)也會(huì)有額外的性能損耗。小文件復(fù)制會(huì)反復(fù)受到這種損耗的影響。使用單線程復(fù)制時(shí)，每個(gè)文件的數(shù)據(jù)量不足以讓網(wǎng)絡(luò)傳輸足夠的數(shù)據(jù)來(lái)維持高網(wǎng)絡(luò)速度，因?yàn)閯?chuàng)建文件所花費(fèi)的時(shí)間比傳輸文件數(shù)據(jù)的時(shí)間更多。出現(xiàn)此問(wèn)題的原因是，在僅傳輸少量數(shù)據(jù)負(fù)載后，就必須暫停數(shù)據(jù)傳輸以執(zhí)行文件創(chuàng)建。然而，單個(gè)大文件只有一次文件創(chuàng)建損耗，然后可以傳輸足夠的數(shù)據(jù)以達(dá)到網(wǎng)絡(luò)峰值速度。

提升通過(guò)SMB協(xié)議傳輸“大量小文件”的方式有三種。

1.使用Robocopy 命令來(lái)幫助傳輸。Robocopy 是 Windows 系統(tǒng)內(nèi)置的傳輸工具，其中的 “/MT” 參數(shù)可開(kāi)啟多線程文件復(fù)制功能。多線程開(kāi)啟后，可以顯著改善SMB協(xié)議的傳輸速度。

2.采用文件壓縮方式，即將小文件壓縮成大的文件，像常見(jiàn)的.zip、.7z、.rar、等格式，然后直接通過(guò)SMB傳輸大文件。

3.還可以選用其他支持多線程文件復(fù)制的第三方的文件復(fù)制工具。

七、結(jié)語(yǔ)

SMB協(xié)議的故障排除是一個(gè)復(fù)雜的過(guò)程，涉及多個(gè)層面的檢查和配置。通過(guò)對(duì)連接性、協(xié)商、會(huì)話設(shè)置、樹(shù)連接和網(wǎng)絡(luò)適配器配置等問(wèn)題的系統(tǒng)性分析和解決，可以顯著提高網(wǎng)絡(luò)共享的性能和穩(wěn)定性。隨著技術(shù)的不斷發(fā)展，各類(lèi)新的網(wǎng)絡(luò)故障和挑戰(zhàn)也將持續(xù)出現(xiàn)。因此，持續(xù)的監(jiān)控和優(yōu)化是確保SMB協(xié)議高效運(yùn)行的關(guān)鍵。

參考文獻(xiàn)

[1]周后兵.網(wǎng)絡(luò)數(shù)據(jù)包攔截與操縱技術(shù)的研究與應(yīng)用[D].成都：電子科技大學(xué)，2007.

[2]何偉，呂彬，周向軍.一種提高SMB協(xié)議代理文件下載性能的方法[J].計(jì)算機(jī)安全，2011（01）：27-29.

[3]齊寓.基于SMB協(xié)議的文件安全傳輸技術(shù)研究[D].哈爾濱：哈爾濱工程大學(xué)，2015.

[4]Elizabeth Ross， Deland Han. Advanced Troubleshooting Server Message Block （SMB）[EB/OL]. [2025-02-15].https：//learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/troubleshooting-smb.

[5]Padre Pedro， Han Liang. New SMB File Server 3.0 Features - Windows Server[EB/OL].2023-12-26[2025-02-15].https：//learn.microsoft.com/en-us/troubleshoot/windows-server/high-availability/smb-3-file-server-features.

[6]Jason Gerend. Overview of File Sharing Using the SMB 3 Protocol in Windows Server[EB/OL]. 2023-01-26[2025-02-15].https：//learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview.

[7]Han Liang，" Anna Li. Negotiate， Session Setup， and Tree Connect Failures - Windows Server[EB/OL]. 2023-12-26[2025-02-15]. https：//learn.microsoft.com/en-us/troubleshoot/windows-server/networking/negotiate-session-setup-tree-connect-fails.

[8]Han Liang，" Anna Li. Guidance for Troubleshooting SMB - Windows Server[EB/OL]. 2024-03-16[2024-12-15]. https：//learn.microsoft.com/en-us/troubleshoot/windows-server/networking/troubleshoot-smb-guidance？source=recommendations.

[9]Dhurata Jahiu， Alex Mihaiuc， and Mark Russinovich. RAMMap v1.61[EB/OL]. Learn.microsoft.com， 2022-07-20[2025-03-11]. https：//learn.microsoft.com/en-us/sysinternals/downloads/rammap.

[10]Han Liang， Anna Li， and Simonx Xu. Slow SMB files transfer speed[EB/OL].Learn.microsoft.com， 2025-2-14[2025-03-11]. https：//learn.microsoft.com/en-us/troubleshoot/windows-server/networking/slow-smb-file-transfer.

作者單位：保時(shí)捷工程技術(shù)研發(fā)（上海）有限公司

責(zé)任編輯：王穎振 楊惠娟