服务器数据恢复环境:
Dell 存储服务器,采纳 esxi 虚拟化零碎,esxi 虚拟化零碎里有 3 台虚拟机;下层 iSCSI 应用 FreeNAS 构建,通过 iSCSI 形式实现 FCSAN 性能;FreeNAS 层采纳 UFS2 文件系统。
esxi 虚拟化零碎里有 3 台虚拟机中的一台虚拟机采纳 FreeBSD 零碎,存储数据库文件;另外两台虚拟机别离存储网站数据和数据库 + 工作程序代码。
服务器故障:
机房供电不稳导致该存储服务器非正常关机,管理员重启服务器后发现 ESXI 零碎无奈连贯存储。通过服务器故障排查,发现 FreeNAS 的 UFS2 文件系统呈现故障,管理员对 UFS2 文件系统进行 fsck 修复并将 ESXI 零碎连贯到服务器存储上。
管理员对下层文件系统及数据进行查看,发现文件系统和存储数据都无奈辨认,于是对 vmfs 执行了格式化操作,数据失落。须要复原 3 台虚拟机以及外部的数据。
服务器数据恢复过程:
1、首先对 FreeNAS 层以只读形式进行镜像备份,后续的数据恢复工作都基于镜像文件进行操作,防止对原始数据造成二次毁坏。
2、基于镜像文件剖析底层数据。通过剖析服务器数据恢复工程师留神到一个几百 G 大小的,被命名为 iscsidata 的大文件。
3、持续剖析 UFS2 文件系统构造,依据 UFS2 文件系统的存储构造定位到这个名为 iscsidata 的大文件的 iNode 数据并进一步进行查看,发现名为 iscsidata 的大文件被重建过,iNode 指针所指向的数据量非常少。在这种状况下,想要进入到 vmfs 文件系统层进行数据分析和复原必须先剖析出 FreeNAS 层的相干信息。
4、通过剖析失去如下 FreeNAS 层信息:UFS2 文件系统块大小为 16kb,segment 大小为 2kb,柱面组大小为 188176kb,数据指针大小为 8 字节,每个块可包容数据指针数量为 2048 个。
依据下面剖析到的信息能够计算出:一个二级指针块可存储的数据量 =2048×2048×16KB=64GB。三级指针块可存储的数据量 =64GB×2048=128TB。
5、服务器数据恢复工程师打算通过 iscsidata 文件的三级指针块来复原 FreeNAS 层的数据,但因为该文件已经被重建,局部指针被重建的数据笼罩,原文件的 iNode 和重建后的 iNode 所处地位完全一致,也没有找到其余可用于复原数据的 iNode 数据。
6、依据理论状况,北亚企安数据恢复工程师编写小程收集到了大量二级指针块和三级指针块。
7、剖析三级指针块但发现这些指针块都有效,预计是重建时被笼罩了,新的 iscsidata 文件挂载到 ESXi 虚拟化零碎后有个 VMFS 格式化过程,而该版本的 ESXi 虚拟化零碎应用的是 GPT 分区,GPT 分区会在磁盘最初写入冗余的 GPT 头和分区表信息数据,会应用 iscsidata 文件的三级指针块。
8、剖析二级指针块,对有大量二级指针块的指向数据进行 DUMP,而后再从磁盘中的数据定位到二级指针,这样失去大量 DUMP 的数据。
9、北亚企安数据恢复工程师依据以前钻研出的 NTFS 和 UFS2 文件系统构造定位到 vmfs 层,继而定位到 DUMP 出的单个 64GB 文件,最初进行数据组合。
10、通过简单的查问和重组,最终胜利复原出了故障服务器存储内的 3 台虚拟机及虚拟机内的全副数据。
服务器数据验证:
将复原进去的数据上传到新搭建的零碎中进行验证,经用户管理员重复验证,确认所有复原进去的数据残缺可用,认可数据恢复后果。