在企业网络或远程办公场景中，使用虚拟私人网络（VPN）建立安全、加密的远程访问通道已成为常态，许多用户在尝试连接时经常会遇到“错误691”——这通常意味着“用户名或密码错误”，作为一名资深网络工程师，我深知这一问题看似简单，实则可能涉及多个层面的配置、认证和权限问题，本文将从技术原理出发，系统梳理常见原因,并提供一套完整的排查与修复流程。

必须明确的是，“错误691”是PPTP或L2TP协议下常见的身份验证失败提示，由远程访问服务器（如Windows RRAS或Cisco ASA）返回，它并非网络连通性问题，而是身份验证阶段失败的结果，第一步应排除基础网络问题，比如确认本地网络是否正常、DNS解析是否通畅、目标IP地址是否可达。

重点检查用户凭据，这是最常见的原因：用户名拼写错误、密码过期、账户被锁定或未启用，建议用户登录到域控制器或NAS设备（如AD域或华为eSight），查看账户状态，确认是否处于“已启用”且“未过期”，注意区分大小写和特殊字符输入错误，尤其是在跨平台环境中（如Linux客户端连接Windows RAS服务器时）。

需检查认证服务器配置，在Windows Server上，若使用RADIUS认证（如NPS），应确保NPS策略允许该用户组访问，并正确关联到相应的远程访问策略，若采用证书认证（如EAP-TLS），还需确认客户端证书是否有效、是否被CA吊销,以及服务器端是否信任该CA。

第三，检查隧道协议兼容性，如果客户端和服务器端使用不同版本的PPTP/L2TP，或协商失败（如MTU不匹配、IPSec参数冲突），也可能触发691错误，建议在客户端启用详细日志记录（如Windows事件查看器中的“远程桌面服务”或“远程访问”日志）,定位具体失败点。

考虑防火墙或中间设备干扰，某些企业级防火墙（如FortiGate、Palo Alto）可能对PPTP协议进行深度检测，误判为攻击而阻断流量，此时应临时关闭防火墙规则测试，或配置白名单放行PPTP端口（TCP 1723）和GRE协议（协议号47）。

处理“错误691”需要从用户端、认证端、协议层和网络层逐层排查，作为网络工程师，我们不仅要快速定位问题，更要建立标准化运维手册，避免重复故障，通过定期审计账户权限、优化认证策略、部署集中式日志分析系统（如SIEM），可显著降低此类问题的发生率,保障远程办公的稳定性和安全性。