WEF source‑initiated: como corrigir o Event ID 105 no WinRM e estabilizar o encaminhamento de eventos

Se o encaminhamento de eventos em modo source‑initiated estiver falhando com o Event ID 105 no forwarder, as causas mais comuns são bindings do IIS mal configurados ou um proxy WinHTTP ativo. Este guia prático mostra como corrigir, validar e fortalecer a sua coleta WEF de ponta a ponta.

Índice

Cenário e sintoma

Neste caso, temos um ambiente com os seguintes elementos:

Um host atuando como forwarder executando Windows Server 2019.
Um host atuando como collector executando Windows 10.
Ambos os computadores ingressados no mesmo domínio DC46.com.
WinRM habilitado em ambos os lados e porta 5985 liberada.
Assinatura criada no collector para receber eventos do forwarder.
No forwarder, o destino configurado aponta para o collector: http://DESKTOP-0W48R8S.DC46.com:5985/wsman/SubscriptionManager/WEC,Refresh=10.

O sintoma observado é a ocorrência recorrente de eventos com o Event ID 105 no forwarder, normalmente com a mensagem “The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available…”. Em termos práticos, o forwarder não consegue enxergar o endpoint do Subscription Manager no collector.

Principais causas

As duas causas abaixo respondem pela maioria dos incidentes com esse sintoma:

#	Causa	Detalhe
1	Binding HTTP ausente ou incorreto no IIS	Quando o Default Web Site não tem um binding HTTP sem Host name, o listener WS‑Man do Subscription Manager pode ficar inacessível a partir de máquinas remotas. Em ambientes com host headers específicos, o tráfego pode ser roteado de forma diferente do esperado.
2	Proxy WinHTTP ativo	Se o WinHTTP estiver configurado para usar proxy, as chamadas WS‑Man podem ser redirecionadas ou bloqueadas, resultando no Event ID 105. Mesmo sem proxy no navegador, o proxy de sistema pode afetar serviços.

Como o modo source initiated funciona

No modelo source‑initiated, é o forwarder que estabelece a conexão com o collector. O collector mantém uma assinatura que define:

Quais logs e eventos devem ser coletados.
Qual canal de entrega será usado (normalmente HTTP em porta 5985 ou HTTPS em porta 5986).
Quem está autorizado a enviar (grupos de computadores, por exemplo, via domínio).

O forwarder descobre o collector por meio da política Configure target Subscription Manager, que aponta para a URL do Subscription Manager. Com a política aplicada, o serviço de encaminhamento consulta periodicamente o endpoint, obtém as assinaturas e começa a enviar os eventos.

Soluções passo a passo

Corrigir ou adicionar binding HTTP no IIS

Em muitos ambientes corporativos, o IIS está presente no collector por outros motivos (aplicações web, testes, reverse proxies, etc.). Embora o WS‑Man não dependa do IIS para existir, bindings de host podem interferir no roteamento de URLs quando há sobreposição de namespaces e regras de redirecionamento. Garanta um binding “padrão” no site principal:

Abra o IIS Manager no collector.
Selecione Default Web Site e clique em Edit Bindings….
Se já existir um binding do tipo HTTP, deixe o campo Host name em branco.
Se não existir, clique em Add… e configure:
- Type: HTTP
- IP Address: All Unassigned
- Port: 80
- Host name: em branco
Reinicie o IIS para aplicar (ou reinicie somente o site).

Observação: Mesmo usando a porta 5985 para WinRM, esse binding “padrão” no site ajuda a evitar interações inesperadas com regras de host header e redirecionamentos globais que podem afetar a resolução do caminho /wsman/SubscriptionManager/WEC em certos cenários.

Atualizar políticas

Após ajustes de infraestrutura, force a atualização de políticas de grupo nos dois lados para que as mudanças sejam aplicadas imediatamente:

gpupdate /force

Verificar e remover proxy WinHTTP

Cheque se existe proxy de sistema configurado via WinHTTP e, se houver, remova para testes:

netsh winhttp show proxy
netsh winhttp reset proxy    :: Executar somente se houver proxy configurado

Se a sua rede exige proxy, crie exceções explícitas para o FQDN do collector e para as portas usadas pelo WS‑Man.

Testar o serviço WinRM

Valide a escuta do listener WS‑Man e a conectividade entre os hosts:

winrm quickconfig -q
Test-WSMan DESKTOP-0W48R8S.DC46.com -Port 5985

O segundo comando deve retornar informações do serviço WS‑Man no collector. Se falhar, o problema não é da assinatura, mas sim de transporte, DNS, firewall ou proxy.

Diagnóstico avançado

Se o erro persistir, faça uma captura de tráfego nos dois lados para observar resets e bloqueios. Em ambientes com inspeção TLS, redirecionadores e balanceadores, essa análise costuma revelar o ponto exato da quebra.

Use Wireshark ou outra ferramenta para capturar no forwarder e no collector.
Filtre por porta 5985 e pelo host do collector.
Procure por códigos de retorno HTTP e por RST no TCP.

Verificações complementares

Além do foco em IIS e proxy, confirme os seguintes itens para encurtar o tempo de resolução:

Nome de host e DNS: o forwarder deve resolver o FQDN do collector para o endereço correto.
Firewall entre redes: portas 5985 ou 5986 liberadas de ponta a ponta; evite inspeção que altere o payload.
Serviços: os serviços Windows Remote Management e Windows Event Collector precisam estar em execução no collector.
Grupos e permissões: a conta utilizada para coleta deve ser membro de Event Log Readers no collector, quando aplicável.
Políticas: a política de target Subscription Manager deve apontar para a URL completa do Subscription Manager, com FQDN.

Comandos de validação

Utilize os comandos abaixo para inspecionar o estado do WS‑Man, das assinaturas e dos serviços relacionados.

Ver o listener

winrm enumerate winrm/config/listener

Checar o serviço de coleta

Get-Service -Name Wecsvc, WinRM | Format-Table Name, Status, StartType

Confirmar a política do Subscription Manager

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog\EventForwarding\SubscriptionManager

Consultar logs operacionais

No forwarder, verifique o canal do plugin de encaminhamento:

Get-WinEvent -LogName 'Microsoft-Windows-Eventlog-ForwardingPlugin/Operational' -MaxEvents 50 |
  Select-Object TimeCreated, Id, LevelDisplayName, Message

No collector, verifique o serviço de coleta:

Get-WinEvent -LogName 'Microsoft-Windows-EventCollector/Operational' -MaxEvents 50 |
  Select-Object TimeCreated, Id, LevelDisplayName, Message

Também é útil checar o canal do WS‑Man:

Get-WinEvent -LogName 'Microsoft-Windows-WinRM/Operational' -MaxEvents 50 |
  Select-Object TimeCreated, Id, LevelDisplayName, Message

Boas práticas

Firewall: mantenha as portas 5985 para HTTP e 5986 para HTTPS liberadas entre forwarder e collector.
Segurança: em produção, prefira HTTPS com certificado confiável por todas as máquinas do domínio.
Perfis de energia e tempo: evite que o collector hiberne; sincronize o horário via NTP para evitar falhas de autenticação Kerberos.
Escopo de coleta: defina filtros claros na assinatura para reduzir latência e consumo de rede.
Monitoramento: crie alertas para eventos críticos nos canais operacionais do WEF e do WinRM.

Políticas úteis

Política	Onde	Observações
Configure target Subscription Manager	Computer Configuration → Administrative Templates → Windows Components → Event Forwarding	Defina a URL completa do collector, por exemplo: `Server=http://DESKTOP-0W48R8S.DC46.com:5985/wsman/SubscriptionManager/WEC,Refresh=60`.
Allow log on locally	Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment	Permissão para a conta que executa o serviço de coleta quando necessário.
Windows Remote Management	Computer Configuration → Administrative Templates → Windows Components → Windows Remote Management	Padronize o listener e as permissões conforme a política de segurança.

Fluxo de resolução

Certifique‑se de que o collector responde ao ping pelo FQDN e que a porta correta está acessível.
Garanta que exista um binding HTTP sem host no site padrão do IIS do collector e reinicie o site.
Atualize as políticas de grupo nos dois hosts e reinicie os serviços de WinRM e Event Collector, se necessário.
Verifique e, se aplicável, remova ou ajuste o proxy WinHTTP com exceções para o FQDN do collector.
Rode os testes de WS‑Man e confirme que o endpoint do Subscription Manager está acessível.
Observe os canais de log operacionais para entender a evolução e confirmar a normalização.

Checklist de validação

FQDN do collector resolvendo e respondendo.
Porta 5985 ou 5986 aberta em todo o caminho de rede.
Listener do WS‑Man ativo e respondendo ao Test-WSMan.
Binding HTTP padrão presente no IIS do collector.
Proxy WinHTTP inexistente ou com exceções adequadas.
Assinatura ativa no Event Viewer do collector e recebendo eventos.

Perguntas frequentes

É obrigatório ter IIS no collector?
Não. O WS‑Man funciona sem IIS. Contudo, quando o IIS está presente, bindings e redirecionamentos podem afetar o roteamento do caminho do Subscription Manager, razão pela qual o binding padrão ajuda a estabilizar a resolução.

Posso usar apenas HTTPS?
Sim. Em ambientes de produção, recomenda‑se HTTPS com certificado confiável para todos os domínios envolvidos. Ajuste a política para apontar para a porta segura e valide com Test-WSMan -Port 5986 -UseSSL.

O Event ID 105 some, mas os eventos não chegam. O que fazer?
Verifique permissões de Event Log Readers no collector, escopo e filtros da assinatura, e consulte os canais operacionais para identificar bloqueios de conteúdo ou filas.

É melhor source‑initiated ou collector‑initiated?
Depende. O modo source‑initiated escala melhor em ambientes com muitos clientes e alto dinamismo, já que o collector não precisa “descobrir” os forwarders. O modo collector‑initiated dá mais controle sobre quem é contatado.

Erros relacionados

Evento	Origem provável	Ação recomendada
ID 105	URL do Subscription Manager inacessível	Corrigir bindings no IIS quando aplicável, revisar proxy WinHTTP, testar WS‑Man e DNS.
ID 102	Falha de autenticação	Checar hora, SPNs, políticas de segurança e credenciais utilizadas.
ID 113	Falha na criação de assinatura	Rever sintaxe e filtros; verificar permissões e compatibilidade de canais.

Exemplo prático do início ao fim

Execute esta sequência para normalizar rapidamente um ambiente igual ao descrito:

No collector, crie ou ajuste o binding HTTP “padrão” no site principal e reinicie o site.
No collector, confirme os serviços: Get-Service Wecsvc, WinRM
Em ambos, force a aplicação de políticas: gpupdate /force
No forwarder, elimine o proxy WinHTTP caso exista: netsh winhttp show proxy netsh winhttp reset proxy
No forwarder, valide conectividade e WS‑Man para o FQDN do collector: Test-WSMan DESKTOP-0W48R8S.DC46.com -Port 5985
No forwarder, cheque o canal do plugin de encaminhamento e confirme a queda do ID 105: Get-WinEvent -LogName 'Microsoft-Windows-Eventlog-ForwardingPlugin/Operational' -MaxEvents 100 | Where-Object { $.Id -eq 105 -or $.LevelDisplayName -eq 'Error' } | Select-Object TimeCreated, Id, Message
No collector, observe a chegada dos eventos na assinatura e monitore o canal operacional: Get-WinEvent -LogName 'Microsoft-Windows-EventCollector/Operational' -MaxEvents 50 | Select-Object TimeCreated, Id, Message

Considerações de segurança

Prefira certificados emitidos por uma autoridade confiável do domínio para simplificar a validação dos clientes.
Evite autenticação baseada em NTLM quando for possível manter Kerberos, que é mais segura e robusta a ataques de retransmissão.
Implemente segmentação de rede para o collector e restrinja acesso administrativo somente a equipes autorizadas.
Configure auditoria para alterações de assinaturas e para eventos críticos no serviço de coleta.

Resultado esperado

Após realizar os três pilares desta correção — criar ou ajustar o binding HTTP sem host no IIS do collector, remover ou adequar o proxy WinHTTP e confirmar a escuta do WinRM com Test-WSMan — o forwarder deve se registrar normalmente no collector. O Event ID 105 deixará de ocorrer e os eventos, em especial os do log de segurança, começarão a fluir para a assinatura configurada em Event Viewer → Subscriptions. Mantenha o monitoramento ativo nos canais operacionais para detectar desvios precocemente e sustentar a confiabilidade do seu pipeline de telemetria.