Como o Windows decide qual endereço IP usar com a comunicação AD DC?

Eu tenho um problema estranho.

Estou trabalhando na configuração de "Sites e sub-redes" corretamente, para que meus clientes do AD se conectem ao DC adequado (em vez de um no lado oposto do globo).

Para fazer isso, eu comecei a filtragem de logs no DC por erro "NO_CLIENT_SITE" - e, enquanto a maioria dos endereços de clientes eu posso localizar facilmente, há alguns que são ... impossíveis.

Eu uso apenas endereçamento IP privado em minha organização, algumas pessoas podem usar VPN (também utilizando IPs privados para interface de túnel). Mas nos logs, há alguns clientes que relatam endereço IP público ou endereço APIPA, por exemplo:

05/24 16:28:45 APAC: NO_CLIENT_SITE: CN070E141 169.254.87.93

Isso é, francamente, impossível - tenho 100% de certeza de que o cliente que usa o APIPA não conseguirá se conectar em nenhum lugar. Da mesma forma, o cliente que usa o endereço IP público não poderá acessar o DC.

A única explicação que me vem à mente é que existem várias interfaces no cliente, uma das quais está funcionando bem - e facilitando a comunicação com o DC, e outra tem APIPA ou IP público - e esse endereço é relatado ao DC .

O que me leva à questão principal: como posso ter certeza de que o endereço fornecido ao DC é sempre o endereço da interface usada para comunicação?

Ou talvez alguém possa fornecer uma explicação alternativa?