Installiert ist WSUS 3.0 SP1. Alle Workstations haben sich bislang am WSUS angemeldet und beziehen ihre Updates. Nur der Server, der gleichzeitig DC ist und alle FSMOs hält sowie ein weiterer DC (also alle DCs der Domäne) können sich nicht am WSUS anmelden.
Für Clients und Server gibt es jeweils unterschiedlich konfigurierte GPOs, das Client-GPO ist an die Domäne geknüpft, das DC-GPO an die OU Domain Controllers. Die GPOs unterscheiden sich nur in der Art der Updateinstallation.
Das WSUS Client Diagnostics Tool gibt folgenden Status aus:

WSUS Client Diagnostics Tool

Checking Machine State
        Checking for admin rights to run tool . . . . . . . . . PASS
        Automatic Updates Service is running. . . . . . . . . . PASS
        Background Intelligent Transfer Service is running. . . PASS
        Wuaueng.dll version 7.2.6001.788. . . . . . . . . . . . PASS
                This version is WSUS 2.0

Checking AU Settings
        AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
                Option is from Policy settings

Checking Proxy Configuration
        Checking for winhttp local machine Proxy settings . . . PASS
                Winhttp local machine access type
                        <Direct Connection>
                Winhttp local machine Proxy. . . . . . . . . .  NONE
                Winhttp local machine ProxyBypass. . . . . . .  NONE
        Checking User IE Proxy settings . . . . . . . . . . . . PASS
                User IE Proxy. . . . . . . . . . . . . . . . .  NONE
                User IE ProxyByPass. . . . . . . . . . . . . .  NONE
                User IE AutoConfig URL Proxy . . . . . . . . .  NONE
                User IE AutoDetect
                AutoDetect not in use

Checking Connection to WSUS/SUS Server
                WUServer = https:\\wsusserver1
                WUStatusServer = https:\\wsusserver1
        UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

VerifyWUServerURL() failed with hr=0x80072ee5

The URL is invalid 

Im GPO ist als interner Updatepfad http://wsusserver1:8530 definiert, das RSOP gibt den korrekten Pfad wieder. Warum in der Reg. so ein kranker URL steht, weiß ich nicht. Ersetze ich in der Reg. den Wert durch den korrekten URL + Port, ist nach der nächsten autom. GPO-Aktualisierung bzw. nach gpupdate /force wieder https:\\wsusserver1 eingetragen.
Hat irgend jemand eine Idee dazu? Danke vorab.

Sunny schrieb on 07.08.09 um 16:13:36:
Das hatte ich bereits getan. Das Symptom bleibt bestehen.
Werden GPO-Settings clientseitig irgendwo gecached (z.B. für das Anmelden mit zwischengespeicherten Anmeldeinfos usw.), sodass trotz Neuerstellung des GPOs unter anderem Namen(!) die alten Werte wieder in die Client-Reg. zurückgeschrieben werden? Komischerweise steht 24h, nachdem ich das GPO deaktivierte, wieder der korrupte Updatepfad in der Client-Reg. (betrifft nur die Server), nach nochmaliger manueller Korrektur bleibt der Pfad dann "sauber". Derzeit sind die GPOs deaktiviert, da ich für das komische Verhalten keine Erklärung habe.

Sunny schrieb on 07.08.09 um 16:13:36:
Das sehe ich ebenso, aber diese Entscheidung liegt nicht bei mir.

Sunny schrieb on 20.08.09 um 11:17:08:
So ist es!
Wie bereits geschrieben, bringt gpupdate /force eine sofortige Übernahme der GPOs, aber mit korrupten Pfaden.
Die GPO-Einstellungen, rechts im MMC-Fenster, zeigen die Einstellungen korrekt an, die GruRiLi-Modellierung und -ergebnisse bringen an den Servern die korrupten Pfade hervor. Die Modellierung und Ergebnisse, testweise mit den Workstations durchgeführt, liefern fehlerfreie Ergebnisse.
Es laufen 2 DCs, auf einem ist WSUS 3.0 SP1 installiert. Beide Server sind betroffen, alle anderen Arbeitsstationen wenden ihr GPO korrekt an.

Vielen Dank für den Tipp.
Die ID des GPO existiert im Verzeichnis, indem die Domainobjekte abgelegt sind (sysvol).