Nach dem CU14 Update wird die Extended Protection auf einem Exchange Server 2019 aktiviert.
Nach der Aktivierung gab es sehr wenige Clients, die sich nicht mehr verbinden konnten. Bei den betroffenen Benutzern ist dauernd eine Passwortabfrage gekommen.

Grund:
Die Problemclients wurden von Windows 7 auf Windows 10 aktualisiert. Dadurch wurde ein veralteter Registry Wert nicht gelöscht. Beim Verbindungsaufbau wurde eine NTLM-Antwort gesendet, die seit der Extended Protection aktiviert wurde, vom Mailserver abgelehnt wurde. (Authentifizierungsproblem, da veraltetes Protokoll verwendet wurde)
Wenn man den Registry Wert löscht, nimmt er den Systemstandardwert und alles funktioniert. So ist es auch bei den Neuinstallationen.

Der Key kann über CMD gelöscht werden:
REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa /v lmcompatibilitylevel /f

Genauere Infos zu diesem Parameter können bei Microsoft eingesehen werden:
https://learn.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level