Auditoría de seguridad del servidor de Windows 2003: registro de IP de la computadora

Contamos con una red con 1 controlador de dominio principal y 3 controladores de dominio adicionales.

Estamos intentando identificar a un usuario que intentó utilizar las credenciales de otra persona para acceder a algunos recursos de nuestra organización. En este punto queremos ver desde qué computadoras hubo intentos fallidos de inicio de sesión con ese usuario respectivo.

Activamos las auditorías de éxito y fracaso del PDC para el evento de inicio de sesión de la cuenta y el evento de inicio de sesión e hice algunas pruebas desde mi computadora.

De hecho, el intento fallido se registra en el Visor de eventos, pero la IP del cliente es totalmente incorrecta (no registra mi IP, sino uno de los controladores de dominio adicionales). ¿Qué necesito hacer para rastrear la ip REAL?

Supongo que la estación de trabajo se conecta al primer controlador de dominio disponible y que DC se autentica en el PDC. ¿Pero cómo soluciono esto?

¡Gracias!

EDITAR Como se indica en los comentarios, miré el ADC que fue informado por el PDC pero no hubo intentos fallidos de inicio de sesión. La configuración de la política de seguridad parece aplicarse a todos los DC del dominio, por lo que debería haberlo registrado...

En una nota relacionada Hice algunas pruebas con una estación de trabajo XP: habilité la auditoría de acceso a objetos, agregué usuarios para realizar un seguimiento y también habilité la auditoría de inicio de sesión; pero registra SÓLO el nombre de usuario, no la IP (o al menos el nombre) de la estación de trabajo, ¡¡¡ni siquiera en el informe de seguridad de inicio de sesión!!!.

Debo decir que estoy realmente decepcionado con estas características de un producto que se vende a nivel empresarial. O eso, o estoy haciendo algo mal y me vendrían bien algunos consejos.