Kurzes Update:
Ich habe nun die vorhandenen Benutzer in der neuen Domäne über den Befehl Enable-MailUser E-Mail aktiviert und konnte anschließend mit dem Script Prepare-MoveRequest.ps1 weitermachen.
Die neuen Benutzer habe ich dann mit ADMT migriert.
So, sorry für die späte Antwort.
Die Lösung des Problems:
Ja, es war die Firewall ;-)
Die Juniper Firewall kommt hier mit ALGs (Application Layer Gateways) um die Ecke, die per default aktiv sind.
Es handelte sich hierbei um das ALG MSRPC.
Hat nun ja auch jahrelang funktioniert. Ob jetzt MS was geändert hat, oder die Juniper auf einmal meint einige Pakete wegzuschmeißen, weil die nun nicht mehr passen... keine Ahnung.
Wir haben nun das ALG deaktiviert (set security alg msrpc disable) - und schlagartig funzt das wieder.
Danke für die Unterstützung!
dr_wahnsinnig's post in Frage zur Cross Forest Migration 2010 nach 2016 wurde als beste Lösung markiert.