服务器数据恢复环境:
Windows Server 服务器,部署 Hyper- V 虚拟机环境;
虚拟机的硬盘文件和配置文件寄存在某托管核心的存储设备中;
存储设备中 4 块硬盘组成阵列存储虚拟机的数据文件,单块 4T 硬盘存储虚拟机数据文件备份。
服务器故障剖析 & 复原计划:
因为存储设备中的虚拟机数据文件失落,整个 Hyper- V 服务瘫痪,虚拟机无奈应用。管理员分割咱们数据恢复核心寻求帮忙,北亚数据恢复工程师团队对故障存储服务器进行检测:
1、检测故障存储服务器没有发现物理故障,硬盘均能够失常工作。
2、查看操作系统没有发现出错过程,排除因操作系统问题导致的数据失落。
3、剖析失落数据的硬盘的文件系统:关上失常,排除入侵毁坏的可能性。在剖析硬盘的文件系统过程中发现此文件系统的元文件创建工夫与数据失落的工夫相吻合。发现这种状况,数据恢复工程师初步判断文件系统被人为重写,即分区被格式化。
4、查看系统日志发现数据失落的当天和之前的系统日志已被清空,审核日志和服务日志却并未清空,这种状况合乎人为操作的特色。格式化分区的操作只记录在系统日志中,这也与人为毁坏的特色相符。
5、剖析硬盘的底层数据,发现硬盘底层中须要复原的系统日志已被新的日志记录笼罩,无奈复原。
6、对操作系统中的所有分区进行剖析,发现故障存储中只有两个分区被从新写入文件系统。对两个分区的格式化须要有两个独立的过程,这种针对性的操作更加验证本案例的故障是人为导致。
依据故障剖析论断,北亚数据恢复工程师团队敲定以下复原计划:
1、对故障存储中的所有硬盘做全盘备份。
2、剖析每个硬盘的数据获取到 RAID 相干信息,重组 RAID 阵列。
3、对重组的阵列进行剖析,看是否找到原有的文件索引项及对应的数据区。
4、核查查找到的文件索引项是否合乎用户数据,并核查相应的数据区有无毁坏。
5、将扫描到的文件索引项碎片拼接成一个残缺的目录构造。
6、依据拼接好的目录项去底层复原对应的数据,并检查数据是否正确。
7、核查数据没问题后复原所有数据。
服务器数据恢复过程:
1、备份用户数据。
因为数据全副都放在托管核心的存储设备中,因而只须要复原存储设备中的数据即可。将故障存储中所有的硬盘编号后从存储设备中取出交给硬件工程师检测硬盘物理故障。检测实现后对每块硬盘做全盘镜像,应用工具将硬盘中所有扇区镜像到备份硬盘中。
2、重组 RAID 磁盘阵列。
剖析每块硬盘数据获取 RAID 相干信息(条带大小,条带走向等),依据这些信息重组 RAID。
3、扫描旧的文件索引项。
剖析硬盘底层数据,服务器数据恢复工程师发现硬盘底层中残留着许多以前文件系统的目录项及文件索引。通过核查发现这些文件索引指向的数据都是用户失落的文件内容。北亚数据恢复工程师编写了一个提取文件索引项的小程序扫描并提取硬盘中所有存在的文件索引项。
4、剖析扫描到文件索引项。
对扫描到的文件索引项进行剖析,北亚数据恢复工程师发现索引项都是不间断的,并且大多是以 16K 或 8K 对齐的。失常状况下的文件索引项是间断的,大小为固定的 1K,每个文件索引项对应一个文件或目录。而扫描进去的这些不间断且不残缺的文件索引项是无奈失常索引到文件的内容。北亚数据恢复工程师对扫描进去的文件索引项做加工解决,对于被毁坏的缺失文件索引项片段,咱们能够从数据备份盘中去查找。
5、将文件索引项组成残缺的目录构造。
依据文件索引项的编号将找到的文件索引项拼接成目录项构造。因为有局部文件索引项被毁坏,因而只能找到大部分文件索引项,但通过这些找到的文件索引项曾经能够拼接出整个目录构造。
6、修复文件系统。
用重建好的目录构造替换现有文件系统中的目录构造,应用工具批改局部校验值,而后再应用工具解释这个目录构造即可看到失落的数据。
为了确定数据是否正确,将其中一个最新的 VHD 文件复原进去并拷贝到一台反对附加 VHD 的服务器上尝试附加此 VHD,附加胜利,查看 VHD 中最新的数据是否残缺后将所有数据恢复到一块硬盘中。
验证数据:
在一台测试服务器上搭建 Hyper- V 的环境,将复原进去的虚拟机文件连贯到这台服务器上。通过导入虚拟机的形式将复原进去的数据都迁徙到新的 Hyper- V 环境,让用户来验证所有虚拟机是否残缺。
迁徙数据:
在用户验证所有虚拟机没问题后,将所有数据拷贝至用户服务器中。利用导入的形式将虚拟机导入到用户的 Hyper- V 环境中,导入后没有报错,尝试启动所有虚拟机胜利,没有发现问题。数据恢复实现。