Как исправить ошибку 0xc000006A при входе в Windows Server

Многие администраторы обнаруживают ошибку 0xc000006A в журнале событий Windows Server (Event ID 4776). Описание обычно: “The computer attempted to validate the credentials for an account” и далее — сведения о неудачной попытке входа. Код 0xc000006A указывает на ситуацию: правильное имя учётной записи, но неверный пароль.

Важно: прежде чем выполнять сложные операции, попробуйте простое — перезагрузите проблемный хост и убедитесь, что пароль действительно изменён или учётная запись не истёкла.

Что это значит

0xc000006A — отказ при проверке учётных данных: система получила корректное имя пользователя, но пароль не совпал. В журнале это чаще всего отображается как Event ID 4776 (Netlogon) на контроллерах домена.

Ключевые понятия:

• Netlogon — служба, отвечающая за аутентификацию в домене.
• Event ID 4776 — запись о попытке валидации учётных данных.

Быстрая проверка перед началом

• Перезагрузите клиент и контроллеры домена.
• Убедитесь, что у пользователя актуальный пароль (сделайте временный сброс и протестируйте).
• Проверьте, не заблокирована ли учётная запись/не истёк ли пароль.
• Проверьте синхронизацию времени между клиентом и контроллерами (Kerberos чувствителен к рассинхронизации, обычно — несколько минут).

Пошаговые решения

1. Включите подробный Netlogon и перезапустите службу

1. Нажмите Win + R, введите “Выполнить” поле: powershell, затем нажмите Ctrl+Shift+Enter для запуска от администратора.

2. Подтвердите UAC — нажмите Да.
3. Выполните по очереди эти команды (на контроллере домена):

Nltest /DBFlag:2080FFFF
Restart-Service Netlogon

Что это делает: первая команда включает расширенное логирование Netlogon, вторая перезапускает службу, чтобы изменения вступили в силу. После этого в каталоге %windir%\debug\netlogon.log будут появляться записи — ищите в них попытки входа от имени проблемного пользователя или с конкретного IP/хоста. По содержимому netlogon.log можно определить, какой клиент отправляет неверные пароли (например, старый ноутбук, служебная учётная запись на принтере, задача в планировщике и т.д.).

Совет: используйте фильтрацию (например, PowerShell: Select-String -Path C:\Windows\debug\netlogon.log -Pattern "4776" -Context 1,2) для ускорения поиска.

2. Используйте Account Lockout and Management Tools

1. Скачайте пакет Account Lockout and Management Tools с официального сайта Microsoft и распакуйте.

2. При запуске установщика подтвердите лицензионные условия — нажмите Да/Yes.

3. В распаковщике укажите путь и нажмите OK.

4. Запустите инструмент EventCombMT на каждом контроллере домена и соберите/фильтруйте события по Event ID 4776 и по имени пользователя.

Почему это полезно: EventCombMT позволяет централизованно собрать события из нескольких контроллеров и быстро увидеть источники повторных неудачных попыток.

3. Отключите автоматическое подключение сетевых дисков (mapped drives)

Иногда старые сохранённые учётные данные для маппированных сетевых путей продолжают отправлять неверные пароли.

1. Win + R → введите regedit и нажмите Enter.

2. Подтвердите UAC.
3. Перейдите по адресу:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

4. Правой кнопкой в правой части — New → DWORD (32-bit) Value, назовите NoNetConnectDisconnect.

5. Двойной клик по созданному параметру, введите значение 1.

6. Перезагрузите компьютер.

Откат: удалите ключ NoNetConnectDisconnect или установите значение 0.

4. Очистите кеш браузера и менеджеры учётных данных

Подсказка: ниже описаны шаги для Chrome — аналогично действуют и другие браузеры. Также проверьте Windows Credential Manager и сторонние менеджеры паролей.

1. Откройте браузер и нажмите Ctrl+Shift+Delete.
2. Выберите “За всё время”, отметьте Cookies и Cached images and files, затем “Очистить данные”.

3. Перезагрузите систему и попробуйте повторный вход.

Если у вас есть приложения, сохраняющие учётные данные (legacy-программы, почтовые клиенты, мобильные приложения, принтеры), обновите их пароли или удалите старые учётные данные.

Альтернативные подходы

• Проверьте групповые политики авторизации и ограничения входа.
• Выполните диагностику репликации AD (repadmin) и проверьте здоровье контроллеров домена.
• Сбросьте пароль и попросите пользователя войти на разных устройствах, чтобы локализовать источник.
• Временно отключите проблемные службенные учётные записи, если известно их расположение.

Когда это не сработает (контрпримеры)

• Контроллер домена недоступен (сеть/аппаратные проблемы).
• Репликация AD сломана: разные контроллеры показывают разные статусы пароля.
• Учётная запись отключена или полностью удалена.
• Сильно рассинхронизовано время между клиентом и контроллерами (Kerberos).

Мини-методология расследования (5 шагов)

1. Соберите данные: Event ID 4776, netlogon.log, время, имя пользователя.
2. Идентифицируйте источник: клиентский IP, имя хоста, сервис.
3. Отключите или обновите источник (удалите старые учётные данные, исправьте задачу).
4. Подтвердите исправление: наблюдайте отсутствие новых 4776/0xc000006A.
5. Документируйте причину и внесите изменение в SOP.

Руководство по инциденту и откату

• Подготовка: снимите резервные копии конфигураций контроллера домена; работайте в рабочее время с резервными контактами.
• Исправление: включение Netlogon логирования, идентификация источника, применение патча/сброса.
• Откат: отмените изменения реестра, отключите verbose логирование после завершения, восстановите параметры служб.

Чек-листы по ролям

Администратор домена:

• Включил verbose Netlogon.
• Проверил netlogon.log и EventCombMT.
• Проверил репликацию AD и синхронизацию времени.
• Документировал найденный источник ошибки.

Служба поддержки / Helpdesk:

• Перезагрузил клиент и попытался войти локально.
• Сбросил пароль и протестировал вход.
• Проверил менеджеры паролей и удалил старые учётные данные.

Критерии приёмки

• Отсутствуют новые записи Event ID 4776 с тем же именем пользователя и тем же исходным IP.
• Пользователь успешно входит на ранее проблемной машине.
• netlogon.log показывает успешную проверку учётных данных (после устранения источника).

Глоссарий (одна строка каждый)

• Event ID 4776 — запись о попытке валидации учётных данных через Netlogon.
• Netlogon — служба аутентификации и членства в домене Windows.
• Credential Manager — встроенное хранилище паролей в Windows.

“При расследовании массовых отказов входа принципиально сначала найти источник постоянных попыток — это экономит часы на догадки.” — эксперт по инфраструктуре

Диагностическое дерево (решение на основе симптомов)

flowchart TD
  A[Пользователь не может войти, Event 4776 / 0xc000006A] --> B{Попробовать простое}
  B -->|Перезагрузка + проверка пароля| C{Вошёл?}
  C -->|Да| Z[Инцидент закрыт]
  C -->|Нет| D[Включить verbose Netlogon на DC]
  D --> E[Анализ netlogon.log и EventCombMT]
  E --> F{Источник найден?}
  F -->|Да| G[Откорректировать источник 'обновить/удалить старые креды, отключить задачу']
  F -->|Нет| H[Проверить репликацию AD и синхронизацию времени]
  H --> I{Проблема в AD/времени?}
  I -->|Да| J[Исправить репликацию/время]
  I -->|Нет| K[Использовать дополнительные инструменты / эскалация]
  G --> Z
  J --> Z
  K --> Z

Дополнительные советы безопасности и приватности

• Загружайте инструменты только с официального сайта Microsoft.
• После завершения диагностики выключите verbose логирование Netlogon (для уменьшения объёма логов).
• Документируйте изменения паролей и уведомляйте пользователей об изменениях безопасности.

Заключение

Ошибка 0xc000006A обычно означает, что где-то в сети продолжают отправляться устаревшие или неверные пароли. Быстрое включение подробного логирования Netlogon и использование инструментов Account Lockout помогают локализовать источник и устранить проблему. Всегда проверяйте простые вещи в первую очередь: перезагрузку, срок действия пароля, синхронизацию времени и менеджеры учётных данных.

Если вы применяли одно из решений — напишите, какой метод помог и какие выводы вы сделали.