В сети было два контроллера домена.
Один понизили.
После этого на нём в netdiag -v

DC list test . . . . . . . . . . . : Failed
You don't have access to DsBind to srv (192.168.0.1). [ERROR_ACCESS_DENIED]
List of DCs in Domain 'DOMAIN':
srv.domain.test.by


Trust relationship test. . . . . . : Passed
Test to ensure DomainSid of domain 'DOMAIN' is correct.
[WARNING] Don't have access to test your domain sid for domain 'DOMAIN'.
[Test skipped]
Secure channel for domain 'DOMAIN' is to '\\srv.domain.test.by'.
Secure channel for domain 'DOMAIN' was successfully set to DC '\\srv.domain.test.by'.

...

Do NTLM authenticated LDAP call to 'srv.domain.test.by'.
[FATAL] Cannot do NTLM authenticated ldap_search to 'srv.domain.test.by': Нет данных.
[WARNING] Failed to query SPN registration on DC 'srv.domain.test.by'.

больше ошибок в отчёте нет

При попытке почистить метаданные
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server localhost
Привязка к localhost ...
DsBindW ошибка 0x6d9(В системе отображения конечных точек не осталось доступных конечных точек.)
server connections:

Список пользователей с контроллера получить невозможно.

Как это полечить?
Хочется сделать этот сервер просто рядовым сервером домена.

InfaNT2, А второй контроллер выставлен глобальным каталогом?
server connections: connect to server localhost »
Напишите netbios имя для коннекта и укажите имя/пароль для более надежной попытки почистить данные. А вообще понижение должно пройти без использования ntdsutil, она уже как крайняя мера применяется.

Delirium, второй сервер собственно не контроллер уже.
Указал имя/пароль - таже ошибка: DsBindWithCredW ошибка 0x6d9(В системе отображения конечных точек не осталось доступных конечных точек.)

тут (http://www.google.ru/url?sa=t&source=web&ct=res&cd=1&url=http%3A%2F%2Fsupport.microsoft.com%2Fkb%2F839880%2Fru&ei=EGK8SLCqJZS41waL5JCUAw&usg=AFQjCNFq27KoZt1ddLaUZXUFQahb9dauxQ&sig2=zM9A3YOer9kt_cEmggCQeQ)
и вот здесь (http://technet.microsoft.com/ru-ru/magazine/cc138001.aspx)

Это я всё читал - к сожалению не помогает

server connections: connect to server localhost »
Это на оставшемся DC делаете?

Нет - это на "кривом" сервере.
На DC нормально при "connect to server srv2" таже ошибка - DsBindW ошибка 0x6d9(В системе отображения конечных точек не осталось доступных конечных точек.)

Это надо делать на ОСТАВШЕМСЯ контроллере, т.к. пониженный уже не в домене