在企业网络或远程办公场景中，用户经常遇到“错误691”这一常见问题，它通常出现在使用PPTP（点对点隧道协议）或L2TP/IPSec等传统VPN连接时，该错误提示“用户名或密码无效”，意味着认证失败，导致无法建立安全隧道，作为一名经验丰富的网络工程师，我将从原理、常见原因到具体解决方案，为你提供一份实用、系统化的排查与修复指南。

理解错误691的本质至关重要，这个错误本质上是远程访问服务器（如Windows RRAS服务）拒绝了用户的登录请求，而不会明确指出是用户名错还是密码错——这正是问题容易被误判的原因，我们不能仅凭直觉去修改密码,而应按逻辑顺序逐层排查。

第一步，确认账号状态和权限，许多情况下，错误691源于账户被禁用、过期或未分配合适的拨号权限，请登录到VPN服务器（例如Windows Server上的“远程访问策略”），检查用户是否在“允许远程访问”组中，并且没有设置账户锁定策略（如连续失败3次即锁定），若用户为域账户，还需确保其密码未过期,且域控制器可正常通信。

第二步，验证用户名和密码格式，特别注意大小写敏感性（Linux/Unix系统常区分大小写）、特殊字符是否被转义，以及是否包含空格，某些ISP或企业环境会强制要求用户名前缀（如domain\username），若忘记添加会导致认证失败，建议在客户端手动输入完整凭证,避免自动填充带来的格式偏差。

第三步，检查网络连通性和防火墙配置，如果用户所在网络存在NAT设备或防火墙（如家用路由器），可能阻断PPTP的TCP 1723端口或GRE协议（IP协议号47），此时可尝试切换到L2TP/IPSec（UDP 500和1701端口）测试是否可行，部分云服务商（如阿里云、AWS）默认关闭公网IP的特定端口,需在安全组规则中放行对应协议。

第四步，更新客户端驱动与软件版本，老旧的Windows系统或第三方VPN客户端（如Cisco AnyConnect旧版）可能存在兼容性问题，建议升级操作系统至最新补丁，或改用微软官方“Windows连接共享”功能进行测试,以排除第三方软件干扰。

若上述步骤无效，可通过日志追踪定位根源，在服务器端启用“远程访问日志”（Event Viewer → Windows Logs → System），查看事件ID 20121（表示RADIUS认证失败）或20122（表示本地用户认证失败）,可精确识别是身份验证模块异常还是数据库读取失败。

错误691虽常见但不难解，关键是采用“由简入繁、分层诊断”的方法：先查账户权限，再核对凭证，接着排查网络和防火墙，最后借助日志精确定位，掌握这套流程，你不仅能快速恢复连接，还能提升自身在网络运维领域的专业能力，每一个错误背后,都是一个学习的机会。