Ja das haben schon viele so gemacht, denn viele stoßen auf solche "vernachlässigten, armen" Exchangeserver bei Kunden. Mein größter Sprung war mal von 2016 RTM auf CU9.
Eine bedingte Weiterleitung bedingt (deswegen der Name) eine Bedingung. ;) Die hast du aber bei "*=alle" nicht. Also kannst du es als "bedingte Weiterleitung nicht konfiguriert haben.
Wenns per Skript geht, dann mach es so. Per GPO wäre mir kein Weg bekannt, sowas zu übergeben. Irgendwie auch strange ein Kennwort für den privaten Schlüssel dann im Klartext im Sysvol abzulegen.
Welcher Server antwortet auf den Zugriffsnamen sowie auf autodiscover.deinedomain.tld (was auch immer du da konfiguriert hast). Der alte oder der neue?