在企业网络环境中,Windows Server 2003 的远程访问服务(RRAS)常被用作构建VPN服务器的基础平台,许多网络管理员在配置或使用过程中会遇到一个常见却棘手的问题——“错误691:用户名或密码无效”,该错误提示通常出现在客户端尝试连接到基于Windows Server 2003的PPTP或L2TP/IPSec VPN时,尽管用户输入了正确的凭据,系统仍拒绝连接,本文将深入剖析造成该问题的常见原因,并提供一套完整、可操作的排查与修复方案。
必须明确的是,“错误691”并不一定意味着密码错误,而是表示认证失败,其根源可能存在于多个层面:账户配置、认证协议设置、权限分配、防火墙策略或服务器状态等,以下是几个关键排查方向:
账户权限问题
最常见的原因是用户账户未正确配置为允许通过远程访问,登录到Windows Server 2003服务器,在“本地用户和组”中找到对应用户,右键选择“属性”,切换到“拨入”选项卡,确认是否勾选了“允许访问”或“控制访问权限”并指定合适的策略,如果用户账户属于“远程桌面用户”组,但未被授予远程访问权限,也会导致此错误。
RADIUS/Active Directory同步问题
若使用域控制器进行身份验证(即AD集成),请检查用户的拨入属性是否已正确继承自组策略,有时即使密码正确,若用户账号被禁用、过期或未启用远程访问许可,同样触发691错误,可通过“Active Directory 用户和计算机”工具查看用户属性中的“拨入”标签页,确保没有异常限制。
认证协议不匹配
Windows Server 2003默认支持PAP、CHAP、MS-CHAP v1/v2等多种认证方式,若客户端使用MS-CHAP v2而服务器未启用该协议(或仅启用旧版),则认证过程会被拒绝,进入“路由和远程访问”管理控制台,右键点击服务器 → 属性 → 安全性选项卡,确保勾选“允许使用以下认证方法”并包括MS-CHAP v2,同时注意:PAP是明文传输,安全性低,建议仅在测试环境使用。
防火墙或NAT配置问题
PPTP依赖TCP端口1723和GRE协议(IP协议号47),若服务器位于防火墙后,且未开放这两个端口,会导致连接建立失败,某些路由器对GRE协议有严格过滤规则,也会阻断PPTP流量,务必检查服务器所在网络的防火墙策略,确保允许TCP 1723和IP协议47的通信。
服务器负载或服务异常
当RRAS服务异常停止或资源不足(如内存溢出、并发连接数超限),也可能返回691错误,打开“服务”管理器,确认“Remote Access Connection Manager”、“Routing and Remote Access”是否正常运行,必要时重启相关服务或调整最大并发连接数(在RRAS属性中设置)。
建议使用事件查看器(Event Viewer)查阅“系统日志”和“远程访问日志”,定位更具体的错误代码(如5198、633等),有助于精准诊断问题。
解决Windows Server 2003下的“错误691”需要从账户权限、认证协议、网络配置、服务状态等多个维度综合排查,对于仍在维护老系统的组织,及时升级至Windows Server 2012及以上版本以获得更好的安全性和兼容性,也是长期运维的重要建议。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
