在日常网络运维和远程办公场景中,Windows系统用户经常会遇到一个令人头疼的错误提示:“错误691 – 无法连接到远程计算机”,这个错误代码不仅出现在企业级虚拟专用网络(VPN)部署中,也频繁出现在个人用户通过Windows自带的“连接到工作区”功能访问公司内网时,作为一名经验丰富的网络工程师,我将从技术原理、常见成因及排查步骤出发,为你提供一套系统性的解决思路。
我们明确“错误691”的本质含义,该错误表示认证失败,即服务器拒绝了用户的登录请求,它并非网络不通或配置错误(如错误692),而是典型的权限或身份验证问题,在排查时应优先聚焦于账号密码、认证方式、服务状态和防火墙策略。
常见原因有以下几类:
-
用户名或密码错误
这是最基础但最容易被忽视的问题,请确认输入的用户名是否包含域名前缀(如DOMAIN\username),特别是在使用Active Directory域环境时,同时检查大小写敏感性,某些NAS设备或RADIUS服务器对密码区分大小写。 -
账户被锁定或过期
若用户连续多次输入错误密码,AD域控制器可能自动锁定账户,可通过域控服务器查看事件日志(Event Viewer > Security)确认是否出现“4740”事件(账户被锁定),检查账户是否已过期(Password Never Expires未勾选且密码过期)。 -
RADIUS服务器配置异常
如果使用的是Cisco ASA、FortiGate或OpenVPN等第三方设备作为VPN网关,其后端RADIUS服务器(如NPS)配置不当也会导致691错误,需确保:- RADIUS客户端IP地址正确注册;
- 共享密钥一致;
- 用户所属组具有允许接入权限(如Remote Access Users)。
-
证书或加密协议不匹配
某些企业级SSL-VPN要求客户端证书认证,若本地证书过期或未安装,即使密码正确也会返回691,可尝试在“证书管理器”中查看是否有有效证书链。 -
防火墙或NAT限制
虽然691本身是认证错误,但若防火墙阻止了PPTP/L2TP或IKEv2流量(如UDP 1723、UDP 500、ESP协议),也可能表现为认证超时或失败,建议临时关闭防火墙测试是否恢复。
解决方案流程如下:
- 重启客户端PC并重新连接;
- 使用其他设备(如手机)尝试连接同一VPN,排除本地配置问题;
- 登录到VPN服务器,查看系统日志(如Windows Event Log中的“Routing and Remote Access”服务日志);
- 联系IT管理员,确认账户状态和RADIUS配置;
- 如仍无效,建议抓包分析(Wireshark)查看PAP/CHAP认证过程是否成功。
错误691虽然看似简单,实则涉及身份验证体系的多个环节,作为网络工程师,应建立“从客户端到服务器”的端到端排查意识,结合日志分析和工具辅助,快速定位根源,对于企业用户而言,定期维护账户生命周期、强化RADIUS安全策略,才是避免此类问题的根本之道。
