So, das Problem gelöst.
In Zwischenzeit habe ich auf dem Exch2010 neuestes RU11 aufgespielt, dies war aber nicht die Lösung.
MailFlow Exch2013->Exch2010 läuft erst seit dem ich an den beiden Servern ausschließlich TLS 1.0 aktiviert habe ( über IIS Crypto )
Erst dann haben sie sich "gefunden" und die MailFlow läuft jetzt in alle Richtungen einwandfrei!
@Norbert
BestPractice hat nicht geholfen, da waren die Einstellungen zu unterschiedlich (W2k8 und W2k12) und es hat einfach nicht gepasst. Hier habe ich auch ein Workaround im Netz gefunden, wonach man die Reihenfolge von Hash-Chips über Policies bestimmen könnte... Dies habe ich aber weiter nicht verfolgt, da die Lösung mit TLS1.0 ONLY geklappt hat.
Ja, das ist nur vorübergehende Lösung, so lange ich nicht mit der Migration fertig bin. Dann wird Exch2010 eh abgeschaltet.
Die Benutzer mit den ich ActiveSync getestet habe war alle samt in der Administratoren Gruppe in Active Directory. Diese Benutzer haben als standard "automatische Vererbung" deaktiviert. Deswegen konnten sie nicht alle Anforderungen die ActiveSync braucht erfüllen.
Workaround : in ActiveDirectory bei diesen Benutzern "automatische Vererbung" weider einschalten (unter Sicherheit->Erweitert).
Seit dem tuts. Bei den Benutzer die keine Admins waren, hat ActiveSync sofort funktioniert. Das Blöde ist, das man zuerst alles mit einem Admin-Benutzer anlegt und gleich testen möchte.....