Você deve configurar os Serviços e Sites do Active Directory para que você se conecte apenas aos Controladores de Domínio em seu site. Isso impedirá que você tente acessar DCs no link da VPN, a menos que todos os DCs do seu site estejam inativos.
Você deve fazer isso por mais do que a capacidade de resposta do GPMC, pois isso significa que o tráfego de autenticação do cliente e o processamento do GPO também estão acontecendo no link da VPN.