当您在尝试通过PPTP或L2TP等协议连接到远程网络时，如果遇到“错误691：用户名或密码无效”这一提示，不要慌张，这是Windows系统中常见的PPP（点对点协议）认证失败错误，通常意味着身份验证阶段被拒绝，作为一名经验丰富的网络工程师，我将带您从底层原理到实际排查步骤,一步步解决这个困扰无数用户的常见问题。

理解错误691的本质至关重要，它并非网络连通性问题（如IP地址冲突、路由不通），而是发生在认证阶段，这意味着您的设备能成功发起连接请求，但服务器端拒绝了您的凭据,这可能由以下几个原因造成：

1. 账号或密码错误
   最直接的原因是输入错误，请务必确认用户名和密码大小写是否正确，尤其是密码包含特殊字符时，部分ISP或企业网关要求密码区分大小写，且不允许空格或多余的字符，建议使用记事本复制粘贴凭证,避免手动输入失误。

2. 账户被锁定或过期
   若多次输入错误密码，账户可能已被临时锁定（如30分钟内禁止登录），检查用户状态：联系管理员查看该账户是否处于“禁用”、“已过期”或“密码永不过期”属性是否被设置，某些环境还会配置账户策略，必须更改密码下次登录”,此时即使密码正确也会失败。

3. RADIUS服务器配置异常
   如果使用的是企业级VPN（如Cisco ASA、FortiGate或华为USG），其后端常依赖RADIUS服务器进行认证，若RADIUS服务宕机、密钥不匹配（Shared Secret不一致）、或用户数据库未同步，都会导致691错误，此时需登录设备控制台，检查日志文件中的RADIUS认证记录,定位具体失败原因。

4. 客户端与服务器协议不兼容
   某些老旧的VPN服务器仅支持PPTP，而现代操作系统默认启用更安全的L2TP/IPsec，若客户端选择错误协议，即使凭据正确也会返回691，解决方案是：在Windows“网络和共享中心”→“设置新连接”中手动指定协议类型,并确保服务器端也允许该协议。

5. 本地防火墙或杀毒软件干扰
   有时第三方安全软件会拦截PPPoE或L2TP数据包，导致认证握手中断，请临时关闭防火墙或杀毒软件测试，若问题消失，则需添加相应规则放行端口（如PPTP使用TCP 1723，L2TP使用UDP 500和UDP 4500）。

6. ISP限制或IP绑定问题
   在部分宽带环境下（如校园网、企业专线），账号可能绑定特定MAC地址或物理端口，若您更换设备或路由器，原账号将无法认证，此时需联系ISP重置绑定信息,或重新注册账号。

推荐一个高效的诊断流程：

• 第一步：重启客户端电脑和路由器；
• 第二步：清除旧VPN配置,新建连接并重新输入凭据；
• 第三步：查看事件查看器（Event Viewer）中的系统日志，查找详细错误代码（如“0x80072746”对应网络问题，“0xc004f010”为认证失败）；
• 第四步：联系管理员获取服务器端日志（如Cisco ASA的debug ppp authentication命令输出）。

错误691虽常见，但通过结构化排查可快速定位根源，作为网络工程师，我们不仅要懂技术，更要培养“先观察、再假设、后验证”的思维习惯——这才是解决问题的根本之道。