服务器数据恢复环境:
EMC服务器,采纳NAS(Isilon S系列存储);
共三个节点,每一节点配置12块SATA接口、单盘容量为3T的硬盘。
服务器故障:
管理员误删除虚拟机,被误删除的虚拟机中存储的是数据库、MP4、AS、TS类型的视频文件等。被误删除的虚拟机是通过NFS协定共享到ESX主机,视频文件通过CIFS协定共享给虚拟机(WEB服务器),NFS共享的所有数据(虚拟机)被删除而CIFS共享的数据则没有被删除。管理员分割咱们数据恢复核心进行数据恢复。
服务器数据恢复过程:
1、将所有硬盘进行备份。
2、服务器数据备份实现后在Isilon的web治理界面中将Isilon失常关机。将备份好的服务器数据放到北亚数据恢复平台中对数据进行剖析。
3、本案例服务器数据失落的起因是误删除,所以不必过多思考冗余级别,须要重点剖析的是数据删除后Indoe及数据MAP是否发生变化。
4、因为服务器中被删除的虚构磁盘文件大小都在64G或以上,除此之外没有其余大文件。北亚数据恢复工程师编写扫描所有文件Indoe的程序,将文件不小于64G的indoe全副扫描进去。通过对Indoe进行扫描找出数据MAP地位,发现其index指向的内容已不再是失常数据,并且所有节点上的Indoe均是同样的状况。
5、再次剖析Inode,发现大文件的数据MAP会有多层(树结构),并且数据MAP中会记录文件的惟一ID,数据恢复工程师尝试找到文件最底层的数据MAP。数据恢复工程师对文件最底层的数据MAP做遍历跟踪操作,发现最低层的数据MAP还存在。
6、通过文件的Inode对文件的惟一ID进行提取工作,而后对所有合乎该ID的数据MAP做聚合。并依据数据MAP中的VCN号做排序,数据恢复工程师通过剖析发现每个文件的前17088项数据MAP都不存在,实践上每个文件的前17088项数据是无奈复原。
7、通过数据换算确定失落的数据MAP项的大小一共不到1G,删除的文件全是虚拟机的vmdk文件,外面都是NTFS的文件系统,NTFS文件系统的MFT根本都在3G的地位。只须要在每个vmdk文件的头部手动伪造一个MBR和DBR就能够解释vmdk外面的数据了。
8、对扫描到的数据MAP做解释,并依据VCN号的程序导出数据,没有MAP的状况保留为零。
9、数据恢复工程师将vmdk文件导出,发现文件比理论状况要小、vmdk中MFT的地位也与本身形容不符。手动随机验证了几个MPA发现都能指向数据区,而程序解释MAP的形式也都没有问题。呈现这种状况的起因可能为文件稠密!
10、北亚数据恢复工程师从新调整了代码再次导出vmdk,这次导出的数据失常且MFT的地位也在相应地位。手工伪造一个MBR,分区表以及DBR,再用北亚开发的文件系统解释工具解释文件系统胜利,导出vmdk外面的数据库及视频文件。
11、验证vmdk中的数据库及视频文件没有发现问题,批量导出所有重要的vmdk文件,再手动的去批改每个vmdk文件。
服务器数据恢复后果:
将所有重要的数据恢复实现后,由服务器管理员对复原进去的所有数据做完整性及准确性检测,最终确定数据齐全没有问题,数据恢复胜利。