在现代网络环境中,虚拟专用网络（VPN）已成为远程办公、安全访问企业内网资源和绕过地理限制的重要工具，用户在使用PPTP或L2TP等传统协议连接时，常常会遇到“错误代码691”——提示“用户名或密码无效”，这个看似简单的错误背后，往往隐藏着多个潜在问题，作为一名资深网络工程师，本文将系统性地分析该错误的根本原因，并提供一套完整的排查流程和实用解决方案。

错误代码691的核心含义是：远程访问服务器拒绝了用户的身份验证请求，这通常发生在客户端尝试通过PPP（点对点协议）建立连接时，服务器端无法识别或验证所提供的凭据，常见场景包括Windows系统拨号连接失败、企业内部的RAS（远程访问服务）服务器响应异常，以及第三方VPN服务商配置不当等。

第一步,确认用户凭据正确无误，这是最基础也最容易被忽视的一环，请确保输入的用户名和密码完全匹配，注意区分大小写，同时检查是否包含特殊字符（如@、#、$），某些系统对这些字符可能有转义要求，建议使用记事本复制粘贴凭证，避免手动输入错误。

第二步,检查账户状态，如果使用的是域账户（如Active Directory中的用户），需确认该账户未被禁用、未过期或未被锁定，可通过服务器管理工具查看用户属性，或联系IT管理员协助解锁，若为本地账户，需确保其已被添加到“允许通过远程桌面登录”的组中（如Remote Desktop Users）。

第三步,验证网络连通性和服务器配置，即使凭据正确，若客户端无法到达远程接入服务器，也会触发691错误，可使用ping命令测试服务器IP地址是否可达，若不通，应检查防火墙规则、路由表或ISP限制，确保服务器上的RADIUS认证服务（如IAS或NPS）运行正常，且用户数据库已正确同步。

第四步,检查协议兼容性，PPTP协议因加密强度较低，常被企业策略禁用；L2TP/IPSec则需要额外配置预共享密钥（PSK），若客户端和服务器端协议不一致，即便密码正确，也无法完成握手过程，建议在客户端设置中明确指定使用的协议类型，并与服务器侧保持一致。

第五步,日志分析至关重要，在Windows事件查看器中查找“远程访问”或“网络策略服务器”相关日志，特别是事件ID 20467（身份验证失败）和20468（用户被拒绝），这些日志能帮助定位是密码错误、账户问题还是服务器策略限制所致。

若以上步骤均无效,考虑以下高级方案：

• 更新客户端驱动程序（如PPP、TAP虚拟网卡）；
• 清除旧的连接配置并重新创建；
• 使用更安全的协议（如OpenVPN或WireGuard）替代老旧的PPTP/L2TP；
• 联系服务提供商获取技术支持,尤其是云托管型VPN服务（如Azure VPN Gateway或AWS Direct Connect）。

错误代码691并非单一故障,而是多因素交织的结果，作为网络工程师，应具备结构化思维，从基础凭据到高层配置逐层排查，才能高效解决问题，保障业务连续性，细节决定成败，耐心调试胜过盲目重试。