共计 1711 个字符,预计需要花费 5 分钟才能阅读完成。
服务器数据恢复环境:
Windows Server 服务器;
零碎中装置了 Hyper- V 虚拟机环境;
虚拟机文件寄存在一台 DELL PowerVault 系列存储中;
PowerVault 系列存储配置:4 个 600G 硬盘组成阵列寄存虚拟机数据,1 个 4T 硬盘用作虚拟机数据备份。
故障:
因为 PowerVault 系列存储中虚拟机数据文件失落,导致 Hyper- V 服务瘫痪,虚拟机无奈应用。服务器管理员分割北亚数据恢复核心进行数据恢复。
故障状况检查和剖析:
1、工程师达到现场后对存储服务器进行物理检测,发现存储不存在物理故障,硬盘都是失常的。对操作系统进行查看也未发现错误过程,排除因操作系统问题导致的数据失落。
2、剖析失落数据硬盘的文件系统,文件均可失常关上,杀毒软件也没有查出异样,排除病毒破坏。然而,数据恢复工程师发现此文件系统的元文件创建工夫为 11 月 28 日,意味着文件系统的创立工夫和数据失落的工夫雷同;这意味着文件系统被人为重写,即分区被格式化了。
3、查看系统日志发现 11 月 28 号之前及当天的系统日志已被清空,审核日志和服务日志却还在。通常状况下,格式化分区的操作只记录在系统日志中,这也验证了存在人为毁坏。
4、尝试复原系统日志,然而通过仔细分析硬盘的底层数据,发现硬盘底层中须要复原的系统日志已被新的日志记录笼罩,无奈复原。
5、剖析操作系统中的所有分区发现只有存储中两个分区被从新写入文件系统了。通常状况下,对两个分区的格式化须要两个独立的操作,从侧面验证这是人为导致的数据失落。
服务器数据恢复过程:
1、备份数据。
数据全副都放在这台 PowerVault 系列存储中。将存储中所有的硬盘编号,而后取出交给硬件工程师检测硬盘是否存在物理故障。如果硬盘失常则对硬盘做全盘镜像。
如下图:备份所有硬盘数据
2、重组磁盘阵列。
剖析每块硬盘上的数据发现 4 块 600G 硬盘做了一个 RAID5,另一块 4T 硬盘是作为数据备份。仔细分析 4 块 600G 硬盘中的数据结构,能够获取此 RAID 的相干信息,利用获取到的 raid 信息重组 raid。
如下图:重组 RAID
如下图:关上硬盘阵列的状况
3、扫描旧的文件索引项。
剖析硬盘底层数据发现许多以前文件系统的目录项及文件索引的残留碎片。通过核查发现这些文件索引指向的数据都是用户失落的文件内容。数据恢复工程师编写提取文件索引项的程序对整个硬盘中所有存在的文件索引项做扫描,提取所有文件的文件索引项。
4、剖析扫描到文件索引项。
对扫描到的所有文件索引项进行剖析发现这些索引项是不间断的,大多都是以 16K 或 8K 对齐的。失常状况下文件索引项是间断的,大小为固定的 1K,每个文件索引项对应一个文件或目录。而扫描进去的这些不间断且不残缺的文件索引项是无奈失常索引到文件的内容。因而须要对扫描进去的文件索引项做加工解决,直到找到所有的文件索引项。
如下图:是文件索引项截图
5、将文件索引项拼接成残缺的目录构造。
找到所有的文件索引项后依据文件索引项的编号将其拼接成整个目录项构造。以下是搜寻到的局部文件索引项,因为有局部文件索引项被毁坏,因而只能找到大部分文件索引项,但这些文件索引项曾经足以拼接成整个目录构造了。
如下图:是扫描到的文件索引项碎片
6、修复文件系统。
将拼接好的目录构造和现有文件系统中的目录构造进行替换,而后应用业余工具批改局部校验值。再应用业余的工具解释这个目录构造就能够看到失落的数据了。
如下图:是用业余工具解释进去的目录构造
为了确定数据是否正确,将其中一个最新的 VHD 文件复原进去并将其拷贝到一台反对附加 VHD 的服务器上,尝试附加此 VHD,后果附加胜利。查看 VHD 中最新的数据是否残缺。
如下图:复原进去的虚拟机数据文件
7、验证数据。
在一台测试服务器上搭建 Hyper- V 的环境,将复原进去的虚拟机文件连贯到这台服务器上。而后通过导入虚拟机的形式,将复原进去的数据都迁徙到新的 Hyper- V 环境中。而后验证所有虚拟机是否残缺。
如下图:虚拟机导入过程
8、迁徙所有数据。
服务器管理员验证所有虚拟机后确认没问题,将所有数据拷贝到原服务器中。而后利用导入的形式将虚拟机导入到原服务器的 Hyper- V 环境中,导入后没有报错,所有虚拟机启动胜利。