@jrichter: Danke dir für deine Ideen, Zeit und Geduld!
Das war der entscheidende Hinweis. Ich habe alle ACL-Einträge bis auf die minimalen:
access to attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth
by anonymous peername.ip=10.16.1.1 auth
by anonymous peername.ip=127.0.0.1 auth
by anonymous ssf=56 auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none
access to *
by * readentfernt.
Dann ging es. Ich habe sie alle wieder hineingesetzt (Datenbank auf dem Consumer gelöscht): geht es immer noch. Irgendwo war ein Zeichen, welches den Slapd durcheinander brachte.