Concentrar-se no final do cliente da captura provavelmente produzirá a maior quantidade de frutos, já que a captura no final do controlador de domínio significará a execução de capturas em todos os DCs da rede. (Se você tiver apenas um único DC, talvez seja melhor capturar o DC final se o problema com os clientes for intermitente.)
Executar o Wireshark durante a inicialização no cliente me parece a ferramenta errada para o trabalho. Executar o software no cliente pode prejudicar a configuração do computador cliente e influenciar os resultados. Eu tentaria capturar o tráfego sem criar qualquer influência no comportamento do computador cliente.
Se você tiver acesso administrativo ao switch, o cliente está conectado para configurar uma sessão de "monitor" ("espelho de porta", porta "SPAN", etc) e capturar de outro computador na porta de monitoração dedicada.
Se você não tiver acesso administrativo ao comutador, considere conectar um computador de captura dedicado entre o computador cliente e a LAN. Seu computador de captura dedicado precisará de duas interfaces físicas, que você faria a ponte. Em seguida, você capturaria a interface virtual de ponte ou uma das NICs físicas na máquina de captura dedicada.
Fazer isso capturando em uma máquina baseada em Windows ou em Linux é bem fácil. Em uma máquina Windows, envolve apenas colocar duas NICs na máquina de captura, conectando-as com a funcionalidade de ponte integrada na GUI do Windows e capturando na interface da ponte. A situação é semelhante no Linux, embora sem a linda GUI em muitas distribuições.
Eu acho que você vai encontrar algo farejando, mas você precisa entender o que acontece durante a inicialização e o logon (o DNS está sendo usado para localizar um DC, como a associação ao site AD afeta as consultas DNS e LDAP) O aplicativo de políticas se parece com, etc) para interpretar os resultados. Comparar uma máquina "em funcionamento" com uma máquina "não funcional" é uma estratégia válida se a diferença entre "trabalhar" e "não trabalhar" não inclinar os resultados muito longe (ou seja, em diferentes locais do AD, diferentes UOs com diferentes GPOs aplicáveis, etc.).
Não descarte a possibilidade de executar rastreamentos que não sejam de rede em computadores clientes com problemas usando a ferramenta "Process Monitor" da Microsoft / SysInternals. Ele pode ser configurado para ser executado na inicialização e pode fornecer um log extremamente detalhado. Se você está tendo um problema como resultado de um atraso em uma Extensão do Cliente de Diretiva de Grupo, por exemplo, um rastreamento ProcMon provavelmente fornecerá informações melhores do que uma captura de rede.