恢复 Exchange Online 用户邮箱 |目录同步环境| “正确的方式” |第 17 部分#23

在本文中，我们将回顾如何在基于目录同步的环境中通过实施最佳实践过程成功还原 Exchange Online 邮箱。

在使用目录同步的 Office 365 环境中（当用户帐户从本地 Active Directory 同步到 Office 365 目录时），Exchange Online 邮箱的还原过程不会开始 通过还原软删除的 Exchange Online 邮箱或软删除的 Office 365 用户。相反，通过恢复已同步到云 (Azure Active Directory) 的软删除的本地 Active Directory 用户帐户。

恢复软删除的本地 Active Directory 用户帐户将触发“绑定”到本地 Active Directory 用户帐户的软删除 Office 365 用户帐户的恢复过程

软删除的 Office 365 用户帐户的还原过程将自动还原“绑定”到被视为软删除的 Exchange Online 邮箱所有者的 Office 365 用户帐户的 Exchange Online 许可证。

Exchange Online 许可证的恢复将触发软删除的 Exchange Online 邮箱的恢复过程。

场景描述

组织基础设施

• 名为 com 的组织使用 Office 365 邮件服务的含义，即 Exchange Online 基础结构。
• 该组织使用目录同步环境 (Azure AD Connect)，它将信息从本地本地 Active Directory 同步到 Office 365 Directory (Azure Active Directory)。

删除事件

• 名为 Grace 的本地 Active Directory 用户帐户被删除，并将“用户帐户删除”事件的信息同步到云端（Azure Active Directory）。

• 因此，“绑定”到“Grace本地 Active Directory 用户帐户”的 Office 365 用户帐户也被删除，以及“绑定”到“Grace”的 Exchange Online 许可证已删除 Office 365 用户帐户已删除。
• 因此，与 Grace Office 365 关联的 Exchange Online 邮箱也被删除。

使命

管理层要求我们恢复 Grace Exchange Online 邮箱并允许 Grace 访问她的 Exchange Online 邮箱。

Office 365 和目录同步环境中的“对象删除流程”

在我们开始描述在目录同步环境中还原 Exchange Online 邮箱之前，了解导致 Exchange Online 邮箱删除结果的“事件流”非常重要。

在目录同步环境中，“用户帐户”等对象的“权限来源”是本地 Active Directory。

每个本地 Active Directory 用户帐户都会同步到 Office 365 Directory (Azure Active Directory)，并创建一个“匹配的”Office 365 用户帐户并将其“绑定”到每个本地 Active Directory 用户帐户。

注意：除组织实施目录同步筛选器以禁用特定 Active Directory OU 或特定用户帐户同步的情况外，此描述均属正确。

当我们将 Exchange Online 许可证分配给特定 Office 365 用户帐户时，为此 Office 365 用户创建的 Exchange Online 邮箱和 Office 365 会被视为 Exchange Online 邮箱的所有者。

如果删除 Office 365 用户帐户或删除 Exchange Online 许可证，则 Exchange Online 邮箱将被删除。如果我们想要更准确的话 - Exchange Online 邮箱将被软删除。

在我们的场景中，与拥有 Exchange Online 许可证的 Office 365 用户帐户关联的本地 Active Directory 用户帐户 (Grace) 被删除。

当 Grace 本地 Active Directory 用户帐户被删除时，以下事件链将被“激活”：

• 事件 1#7 - Grace 本地 Active Directory 用户帐户已删除。
• 事件 2#7 - 当 Active Directory 用户帐户被删除时，已删除的用户帐户状态将更新为 - “软删除”用户帐户。用户帐户被“发送”到 Active Directory 回收站。用户帐户将在 Active Directory 回收站中保存 180 天。
• 事件 3#7 - 目录同步服务器 (Azure AD Connect)，连接本地 Active Directory（默认情况下，时间间隔为三小时），并获取有关该事件的更新信息，其中 Grace 用户帐户已删除。
• 事件 4#7 - 目录同步服务器 (Azure AD Connect)，连接 Windows Azure Active Directory，并同步有关事件的信息，其中“绑定”到 Grace 的本地 Active Directory 用户帐户em> Office 365 用户帐户已删除。

• 事件 5#7 - Windows Azure Active Directory 获取更新，并删除 Office 365 用户帐户。已删除的 Office 365 用户帐户将被“发送”到 Windows Azure Active Directory 回收站。
  Office 365 用户帐户被视为“软删除”，并将保留在 Azure Active Directory 回收站中，以便30天。 30 天期限结束后，用户邮箱将被永久删除（硬删除）。
• 此外，分配给删除的 Office 365 用户的 Exchange Online 许可证也将删除。
• 事件 6#7 - Windows Azure Active Directory “通知”（同步信息）Exchange Online 基础结构 - 分配软删除 Office 365 用户帐户的 Exchange Online 许可证已删除。
• 事件 7#7 - 因此，Exchange Online 将删除与 Office 365 用户帐户关联的用户邮箱。删除的 Exchange Online 用户邮箱将被发送到 Exchange Online 回收站并在那里保留 30 天。 30 天期限结束后，用户邮箱将被永久删除（硬删除）。

当我们在 Office 365 和目录同步环境中恢复软删除的本地 Active Directory 用户帐户时发生的一系列事件

在下面的部分中，我想简要回顾一下当我们在 Office 365 和目录同步环境中恢复软删除的本地 Active Directory 用户帐户时发生的事件链。

在我们的示例中，我们从本地 Active Directory 回收站恢复 Grace 软删除用户帐户。

快速提醒，Grace 本地 Active Directory 用户帐户已“绑定”到软删除 Office 365 用户帐户，该帐户被视为软删除 Exchange Online 邮箱的所有者。

当我们从本地 Active Directory 回收站恢复软删除时，在目录同步环境中，会发生以下事件链：

• 事件 1#6 - 从本地 Active Directory 回收站“提取”已恢复的软删除用户帐户，并将用户帐户“发送回”到“活动”目录用户的数据库。
• 事件 2#6 - 目录同步服务器 (Azure AD Connect)，连接本地 Active Directory（默认情况下，时间间隔为三小时），并获取有关事件的更新信息，其中用户帐户 恢复（恢复）。
• 事件 3#6 - 目录同步服务器 Azure AD Connect），连接 Windows Azure Active Directory，并同步有关事件的信息，其中“绑定”到软删除 Office 365 用户帐户的本地 Active Directory 用户帐户 已恢复。

• 事件 4#6 - Windows Azure Active Directory 获取更新信息，并从回收站“拉出”软删除用户帐户。 Office 365 用户将恢复到“活动用户帐户列表”。此外，Office 365 用户帐户的 Exchange Online 许可证也会恢复。
• 事件 5#6 - Windows Azure Active Directory “通知”（同步）Exchange Online 基础结构，软删除的 Exchange Online 邮箱的所有者已恢复。
• 事件 6#6 - 因此，Exchange Online 将恢复软删除的用户邮箱并恢复与 Office 365 用户帐户的关联。

在基于目录同步的环境中恢复 Exchange Online 用户邮箱

步骤 1#2 - 模拟删除本地 Active Directory 用户帐户的事件

本地部署 |活动目录

在我们的示例中，我们将通过删除名为 - Grace 的用户的本地 Active Directory 用户帐户来模拟该场景

在删除 Grace 的用户帐户之前，我想简要回顾一下 Grace Active Directory 用户帐户的属性。

稍后，当我们恢复软删除的 Grace 的用户帐户时，我想向您展示恢复过程，设法恢复附加到 Grace 用户帐户的所有“属性”，甚至原始 Grace 密码。

• Grace 办公室是营销

• Grace 是一个名为 - Marketing 的团体的成员

在下面的屏幕截图中，我们可以看到 GraceOn-Premise Active Directory 用户帐户被“删除”。

本地部署 |目录同步环境

有关删除由目录同步服务器 (Azure AD Connect) 同步到云 (Azure Active Directory) 的本地 Active Directory 用户帐户的信息。

在下面的截图中，我们可以看到以下信息：

• 在“出站同步”部分（编号 1）下，更新的操作定义为““导出属性流”。
• 当我们查看“更新事件”（数字 2）的属性时，我们可以看到更新与已删除的 Grace 的用户帐户相关（在“更改”列中显示为 - 删除）。

Office 365 | Azure 活动目录 | Office 365 管理中心界面

在此步骤中，我们将查看Azure Active Directory 回收站内容，并尝试验证删除本地 Active Directory 用户帐户是否会导致删除“绑定”到本地 Active Directory 用户帐户。

Azure Active Directory，为我们提供了图形界面来查看Azure Active Directory回收站的内容。

我们可以看到，“绑定”到 Grace 本地 Active Directory 用户帐户的 Grace Office 365 用户帐户也被删除并发送到 Azure Active Directory 回收站。

Azure Active Directory 回收站界面中未出现的其他重要信息是，Grace 的 Exchange Online 许可证也已删除！

Windows Azure Active Directory “通知”（同步信息）Exchange Online 基础结构，关于以下事实：绑定软删除 Office 365 用户帐户的 Exchange Online 许可证已删除。

Office 365 | Exchange Online 基础设施 | Exchange Online 管理中心

在收到有关 Grace Exchange Online 许可证已删除的信息后，Exchange Online 将删除与 Grace Office 365 用户帐户关联的 Exchange Online 邮箱。

如果我们想要查看软删除的Exchange Online邮箱，Exchange Online管理中心提供了一个图形界面来查看Exchange Online回收站的内容。

使用 Exchange Online 管理中心，我们可以通过以下菜单查看 Exchange Online 回收站：

收件人菜单 => 邮箱菜单 => 三点菜单 => 已删除邮箱菜单。

在下面的屏幕截图中，我们可以看到Exchange Online回收站的内容。我们可以看到 Exchange Online 回收站包含“Grace”软删除邮箱。

我们可以用来查看 Exchange Online 回收站内容的另一种方法是创建到 Exchange Online 的远程 PowerShell 会话，并使用以下 PowerShell 命令：

Get-Mailbox -SoftDeletedMailbox

如果您需要有关操作的说明 - 创建与 Exchange Online 的远程 PowerShell 会话，您可以阅读文章 - 连接到 Exchange Online PowerShell

在下面的屏幕截图中，我们可以看到Grace的邮箱删除之前和邮箱删除之后的Exchange Online回收站的内容。

步骤 2#2 - 恢复软删除的本地 Active Directory 用户帐户

在本节中，我们将恢复被软删除的“原始”Grace 本地 Active Directory 用户帐户。

“原始本地 Active Directory 用户帐户”的恢复过程将初始化一系列事件，最终以 Grace 软删除 Exchange 的成功恢复结束网上邮箱。

本地部署 |活动目录回收站

Grace 删除了本地 Active Directory 用户帐户，将其视为“软删除用户帐户”，并且该用户将保留在本地 Active Directory 回收站中。

查看 Active Directory 回收站的内容并恢复软删除

在我们的示例中，我们将使用 Windows 2008 Server R2 ，其中启用了 Active Directory 回收站。 Windows Server 2008 R2 提供 CLI（命令行界面）来管理和查看本地 Active Directory 回收站的内容。

如果您想了解有关 Active Directory 回收站以及还原软删除用户帐户的不同选项的其他信息，您可以阅读文章 - 已删除的 Active Directory 用户帐户和已删除对象存储 |基本介绍 |第 1#4 条 |第 13 部分#23

为了能够查看和管理 Active Directory 回收站（管理存储在 Active Directory 回收站中的软删除对象），我们将使用以下 PowerShell 命令：

• 查看或显示存储在 Active Directory 回收站中的软删除对象

在我们的具体示例中，我们使用 Get-ADObject 命令显示有关被视为用户帐户对象的软删除对象的信息。

为了能够查看本地 Active Directory 回收站（软删除用户帐户）的内容，我们使用 PowerShell 命令 Get-ADObject 和参数 - includeDeletedObjects

• 从 Active Directory 回收站恢复软删除的对象

要恢复软删除的 Active Directory 对象，我们将使用 PowerShell 命令 Get-ADObject 的组合来“获取”所需的软删除对象，并将输出通过管道 (|) 传输到 PowerShell 命令 -恢复ADObject

查看或显示存储在 Active Directory 回收站中的软删除对象

要查看有关所有软删除用户帐户（用户对象）的信息，我们使用以下 PowerShell 命令：

Get-adobject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -IncludeDeletedObjects

在下面的屏幕截图中，我们可以看到软删除用户帐户的列表，以及有关Grace软删除用户帐户的信息。

如果我们想要显示有关特定软删除用户帐户对象的信息，我们可以使用基于特定对象属性的“过滤器”。

例如，显示软删除的用户帐户，其 DisplayName 等于我们正在查找的用户的名称。

在我们的示例中，我们希望显示有关使用显示名称 - Grace Jones 的软删除用户帐户的信息

Get-ADObject -Filter {displayName -eq "Grace jones"} -IncludeDeletedObjects

恢复 Grace Soft 删除的用户帐户

在下面的部分中，我们将恢复 Grace 软删除的用户帐户

我们将使用 PowerShell 命令“获取”有关 Grace 软删除帐户的信息，然后将输出通过管道传输到恢复软删除对象的 PowerShell 命令。

我们用于从 Active Directory 回收站恢复 Grace Soft Deleted 用户帐户的 PowerShell 命令示例如下：

Get-ADObject -Filter {DisplayName -eq "Grace jones"} -IncludeDeletedObjects | Restore-ADObject

为了验证 Grace Soft Deleted 用户帐户是否已成功恢复，我们将再次使用 PowerShell 命令来查看 Active Directory 回收站：

Get-ADObject -Filter {DisplayName -eq "Grace jones"} -IncludeDeletedObjects

在下面的屏幕截图中，我们可以在恢复操作之前和执行恢复 PowerShell 命令之后看到有关 Grace 用户帐户的信息。

请注意：

• 在软删除恢复之前，属性“Deleted”的值为True
• 当我们恢复软删除的用户帐户后，属性“Deleted”的值为空

本地部署 |活动目录

在下面的屏幕截图中，在查看本地 Active Directory 时，我们可以看到原来的“软删除”Grace 的用户帐户已成功恢复。

我们想要验证的另一件事是 - 恢复过程是否成功恢复了 Grace 的用户属性和属性。

• 在下面的屏幕截图中，我们可以看到 Grace 组成员身份已成功恢复。

• 在下面的屏幕截图中，我们可以看到Grace办公室信息已成功恢复。

本地 |目录同步环境

在此步骤中，我们要验证有关“Grace 恢复的用户帐户”的信息是否已同步到云（Active Directory Azure）。

有关删除由目录同步服务器 (Azure AD Connect) 同步到云 (Azure Active Directory) 的本地 Active Directory 用户帐户的信息。

在截图中，我们可以看到以下信息：

• 在“导出统计”部分（数字 1）下的“更新”部分中，我们可以看到同步包括两个更新。

• 当我们查看“更新事件”（数字 2）的属性时，我们可以看到更新与添加的 Grace 的用户帐户相关（显示在“更改”列下）如 - 添加）。

Office 365 | Azure 活动目录 | Office 365 管理中心界面

在下一节中，我们要验证有关“Grace 还原的本地 Active Directory 用户帐户”的信息是否已成功同步到云（Azure Active Directory）。

此外，我们想要验证 Azure Active Directory 是否“理解”她“需要”恢复“Grace 软删除的 Office 365 用户帐户”，该帐户“绑定”到“ >Grace 本地 Active Directory 用户帐户。”

Active Directory Azure - 回收站

在下面的屏幕截图中，我们可以看到 Azure Active Directory 回收站的内容（Azure Active Directory 管理中心，已删除用户菜单）。

我们现在可以看到这一点； Active Directory Azure 回收站为“空”。
这意味着 Grace 软删除用户帐户已恢复并被视为“活动用户帐户”。

Active Directory Azure - 活动用户列表

在下面的屏幕截图中，我们可以看到 Azure Active Directory 活动用户的列表。

我们现在可以看到，活动用户列表中包括 Office 365 用户帐户 - Grace

请注意，我们可以看到有关 GraceOffice 365 用户帐户的重要“信息”：

1. Office 365 用户帐户显示为已同步（数字 2）。
这意味着 Azure Active Directory 设法“理解”恢复的“Grace”本地 Active Directory 用户帐户”已“绑定”到“Grace 软删除 Office 365 用户帐户”。 Office 365 用户帐户已恢复，并“附加”回本地 Active Directory 用户帐户。

2.Office 365许可证

请注意有关 Office 365 许可证的重要信息！ （2号）

在下面的屏幕截图中，我们可以看到 Grace 用户帐户拥有许可证（在我们的场景中为 E3 许可证）。
我们没有分配 Office 365 许可证，但是 相反，原始 Office 365 用户帐户与其删除之前分配给该用户帐户的 Office 365 许可证一起恢复。

3. 用户帐户属性
在屏幕截图中，我们可以看到 Grace 用户帐户（营销组成员）的组成员身份也已成功恢复。

Office 365 | Exchange Online 基础设施 | Exchange Online 管理中心

在最后一个阶段，我们要验证我们的主要任务 - 恢复 Grace Online 邮箱是否已成功完成！

我们将使用 Exchange Online 管理中心来获取有关 Grace 原始 Exchange Online 邮箱状态的其他信息。

在线交流 |回收站 |电源外壳

在下面的屏幕截图中，我们可以使用PowerShell命令Get-Mailbox -SoftDeletedMailbox来查看Exchange Online回收站的内容。

我们可以看到 Exchange Online 回收站不包含有关 Grace 邮箱的信息。意思是，Grace 邮箱已成功恢复并从 Exchange Online 回收站“删除”。

在线交流|活动邮箱

我们将使用 Exchange Online 管理中心获取有关 Grace Exchange Online 邮箱的其他信息。

在下面的屏幕截图中，我们可以看到 Grace 的邮箱出现在“活动邮箱列表”中。

另外，我们想验证 Exchange Online 邮箱属性是否也已恢复。

在我们的示例中，Grace 的邮箱是营销组的成员。

在下面的屏幕截图中，我们可以看到Grace邮箱的属性，并且我们可以看到她的组成员身份已成功恢复。

为了验证恢复的 Exchange Online 邮箱确实是“Grace 的原始 Exchange Online 邮箱”，我们登录到 Grace 的邮箱。

在下面的屏幕截图中，我们可以看到邮箱中包含原始的Grace邮件项目。

当前文章系列的下一篇文章

前缀——目录同步环境中“有问题的”Exchange Online 邮箱恢复方案第 18 部分#23