O controlador de domínio que um usuário usa para efetuar login tem a ver com a configuração do site. Se você não fez nada sobre o Google Sites, você tem um grande problema. Usuários e computadores irão (dentro de alguns limites) escolher um DC aleatório nesse site para fazer login. Se você tiver sites separados declarados no AD, o processo de login respeitará os limites do site; ele só irá cruzar para outro Site quando todos os DCs locais não estiverem disponíveis. Depois que os DCs locais estiverem em backup, eles farão login.
O que significa que não há como ver quem efetuou login em um determinado Domain Controller antes de acessar o log de segurança. Procure a ID do evento 4624 para obter eventos de Logon. Haverá muitos deles, já que o computador e o usuário registram esse evento.
A única área que não é tão clara é onde as Políticas de Grupo são baixadas. Os computadores resolverão o DNS do domínio para obter uma lista de controladores de domínio. Isso pode cruzar sites, o que pode levar a lentidão nos tempos de aplicativos do GPO, caso isso esteja acontecendo. Eu acredito que você pode pesar as entradas de DNS para desencorajar o uso do DC distante.