<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>

</head>

<body dir="ltr">

<div id="divtagdefaultwrapper" style="font-size:12pt; color:#000000; background-color:#FFFFFF; font-family:Calibri,Arial,Helvetica,sans-serif">

<p>Ed,</p>

<p><br>

</p>

<p>Everything I'm saying here is assuming you are UCOS >= 9.x; before 9 ALL LDAP or ALL local were the choices and you couldn't have blended users .... point being, the enduser status value had different implications.<br>

</p>

<p><br>

</p>

<p>If you are looking for a way to passively monitor active accounts; <i>run sql select count(*) from enduser where status=1</i> (inactive LDAP users would show a status of 2 and local users a status of 0). However I would also want take a peek at the CUCM

 Dirsync log (<i>activelog cm/trace/dirsync/log4j/dirsync.log</i>) and see if it provides additional detail on the issue. If you get pushback from the AD folks and they say everything seems fine; it may actually be an issue with CUCM.<br>

</p>

<p><br>

</p>

<p>As a stop-gap measure; you could convert the <i>high-profile</i> users to a local end user account temporarily, until the sync issues are addressed. Just need to consider how that may impact Jabber (EDI Vs. UDS ... etc).</p>

<p><br>

</p>

<p><i>** While I cannot confirm this; I have heard of folks resolving this issue from the CUCM side by restarting the DirSync service on the Publisher node and/or deleting the Directory Sync agreement and adding it back in. **</i></p>

<p><br>

</p>

<p>Additionally, if your user is LDAP sync'ed but currently showing inactive you can

<i>run sql update enduser set status=1</i> (<u>throw in a limit clause<i> ...</i><i> WHERE and LIKE

</i><i></i>if you don't want to hit ALL users</u>). Now, if the user is legitimately disabled/missing in AD, the enduser will go inactive again on the next CUCM Sync.</p>

<p><br>

</p>

<p>I have also had this happen where the "Cloud Team" decided to make AD more efficient and the moved every one into different OUs and didn't consider that I, the simple phone guy might need to know that.</p>

<p><br>

</p>

<p>Let me know if I can be of further help.<br>

</p>

<p><br>

</p>

<p>Thanks,</p>

<p><br>

</p>

<div id="Signature">

<div id="divtagdefaultwrapper" style="font-size:12pt; color:#000000; background-color:#FFFFFF; font-family:Calibri,Arial,Helvetica,sans-serif">

= Ryan =

<p><br>

</p>

<p><br>

</p>

<p>Email: ryanhuff@outlook.com</p>

<p>Spark: ryanhuff@outlook.com</p>

<p>Twitter: <a id="LPNoLP" href="http://twitter.com/ryanthomashuff">@ryanthomashuff</a><br>

</p>

<p>LinkedIn: <a title="Ctrl+Click or tap to follow the link" id="LPNoLP" href="http://linkedin.com/in/ryanthomashuff">

ryanthomashuff</a><br>

</p>

<p>Web <a id="LPNoLP" href="http://ryanthomashuff.com">ryanthomashuff.com</a></p>

</div>

</div>

<br>

<br>

<div style="color:rgb(0,0,0)">

<hr tabindex="-1" style="display:inline-block; width:98%">

<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" color="#000000" face="Calibri, sans-serif"><b>From:</b> cisco-voip <cisco-voip-bounces@puck.nether.net> on behalf of Ed Leatherman <ealeatherman@gmail.com><br>

<b>Sent:</b> Saturday, February 27, 2016 7:42 AM<br>

<b>To:</b> Cisco VOIP<br>

<b>Subject:</b> [cisco-voip] Reporting in inactive endusers in CM</font>

<div> </div>

</div>

<div>

<div dir="ltr">We've go something weird going on with LDAP whereby i'm randomly getting end users marked inactive in cucm (and unity) after a periodic sync.

<div><br>

</div>

<div>Packet cap shows inconsistent number of search results back from the ldap server (oracle) - so i'm chalking it up to CM doing exactly what its supposed to do. Since I don't manage that ldap service i'm at the mercy of the folks that are, right now they

 are trying to replicate the issue but its so or miss , haven't been able to yet. </div>

<div><br>

</div>

<div>In the meantime though, i'd like to try and report on when ldap sync'd users get marked inactive. This way we can keep an eye on it, and if i all the sudden see 1000 users marked inactive, we can manually go in and kick off a new re-sync. or when certain

 VP's accounts get axed and they can no longer sign into jabber (><) we can proactively go fix it before they have a problem.</div>

<div><br>

</div>

<div>My first thought is to script something that will do a sql query against the end user table and send back user ids that are inactive - on a schedule so it just shows up in our inboxes in the morning. Anyone ever had to do this, is there a better way?</div>

<div>

<div>

<div><br>

</div>

-- <br>

<div class="gmail_signature">Ed Leatherman<br>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</body>

</html>