Exchange 2013 und frei/Gebucht Fehler bei migrierten Benutzern (onPrem)

Hallo,

ich habe folgendes Problem mit einer Exchange 2013 (onPrem) Installation. Auf dem Server wurden ca. 70 Benutzer neu angelegt und ca. 40 Benutzer von einer anderen Exchange 2013 Instanz (anderer Forest, auch onPrem) migriert.

Jetzt besteht das Problem, dass die Benutzer, die neu angelegt wurden, keine frei/gebucht Zeiten der migrierten Benutzer sehen können (Meldung:"Mit dem Postfachserver des Empfängers kann keine Verbindung hergestellt werden"). Die migrierten Benutzer können untereinander auch keine frei/gebucht Zeiten sehen. Sie sehen aber die Zeiten der neu angelegten Benutzer.

Das Problem besteht nicht nur in Outlook, sondern auch im OWA.

Die Kalenderberechtigungen sollten stimmen.

Ich habe per Fiddler und in den Logs im Fehlerfall folgende Fehlermeldungen gefunden:

REQUEST:
POST https://domain.de/owa/service.svc?action=GetUserAvailabilityInternal&ID=-495&AC=1 HTTP/1.1 

RESPONSE:
MessageText=Fehler einer Win32-Funktion. Möglicherweise enthält die interne Ausnahme mehr Details.,
inner exception: Microsoft.Exchange.Security.Authorization.AuthzException:
Der Zugriffstest kann für den Clientkontext User SID: S-1-5-21-xxxxxxx-yyyyyy-4122 nicht ausgeführt werden.
---> System.ComponentModel.Win32Exception: Falscher Parameter
--- Ende der internen Ausnahmestapelüberwachung ---
bei Microsoft.Exchange.Security.Authorization.ClientSecurityContext.GetGrantedAccess(SecurityDescriptor securityDescriptor, SecurityIdentifier principalSelfSid, AccessMask requestedAccess)
bei Microsoft.Exchange.InfoWorker.Common.Availability.FreeBusyPermission.CallerHasFullPermission(ClientSecurityContext clientSecurityContext, FreeBusyQuery freeBusyQuery)
bei Microsoft.Exchange.InfoWorker.Common.Availability.FreeBusyPermission.GetPermissionLevel(ClientSecurityContext clientSecurityContext, FreeBusyQuery freeBusyQuery, RawSecurityDescriptor securityDescriptor)
bei Microsoft.Exchange.InfoWorker.Common.Availability.FreeBusyPermission.FromInternalClient(InternalClientContext internalClientContext, RawSecurityDescriptor securityDescriptor, FreeBusyQuery freeBusyQuery)
bei Microsoft.Exchange.InfoWorker.Common.Availability.CalendarQuery.InternalGetCalendarData(FreeBusyQuery freeBusyQuery, MailboxSession session)
bei Microsoft.Exchange.InfoWorker.Common.Availability.CalendarQuery.GetDataInternal(FreeBusyQuery freeBusyQuery, EmailAddress emailAddress)

MessageXml=<?xml version="1.0"?>
<XmlNodeArray xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns="http://www.w3.org/2001/XMLSchema-instance">
<ExceptionType xmlns="http://schemas.microsoft.com/exchange/services/2006/errors">Win32InteropException</ExceptionType>
<ExceptionCode xmlns="http://schemas.microsoft.com/exchange/services/2006/errors">5014</ExceptionCode>
<ExceptionMessage xmlns="http://schemas.microsoft.com/exchange/services/2006/errors">Fehler einer Win32-Funktion. Möglicherweise enthält die interne Ausnahme mehr Details., inner exception: Der Zugriffstest kann für den Clientkontext User SID: S-1-5-21-xxxx-yyyyy-4122 nicht ausgeführt werden.</ExceptionMessage>
<ExceptionServerName xmlns="http://schemas.microsoft.com/exchange/services/2006/errors">HERMES</ExceptionServerName>
</XmlNodeArray>

Im Autodiscover-Response gibt es scheinbar für jeden Benutzer unterschiedliche Server und ServerDN-Einträge. Kann man die Erreichbarkeit z.B. per Powershell testen?

<Type>EXCH</Type>
<Server>00320035-xxxxx-yyyyy-0004100@domain.de</Server>
<ServerDN>/o=fhlocal/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=00320035-xxxxx-yyyyy-0004100@domain.de</ServerDN>
<ServerVersion>73C085D9</ServerVersion>

Ich habe bereits den Outlook-Switch /CleanFreeBusy getestet, was aber auch nicht geholfen hat.

Vielleicht hat ja jemand eine Idee, wie ich weiter vorgehen kann bzw. noch besser: sogar eine Lösung für das Problem.

VG

Hans-Peter