共计 886 个字符,预计需要花费 3 分钟才能阅读完成。
服务器数据恢复环境:
一台应用 NTFS 文件系统的服务器;
7 块硬盘组成了一组 raid5 磁盘阵列。
服务器故障 & 初检:
raid5 磁盘阵列磁盘故障离线导致服务器瘫痪。用户在解决掉线磁盘时只增加新的硬盘 rebuild,并没有将掉线的 3 块硬盘从阵列中拔掉。
硬件工程师对故障服务器中所有硬盘进行了物理检测,没有发现硬盘物理故障,只好交由服务器数据恢复工程师对所有硬盘做全盘镜像 & 剖析。
服务器数据恢复过程:
1、对所有硬盘镜像备份后,服务器数据恢复工程师剖析服务器 raid 构造。故障服务器中的硬盘每 512 字节多加了一个 8 字节的校验,也就是说每扇区 520 字节。北亚数据恢复工程师编写了一个小程序将 8 字节的校验去掉,不便后续的数据恢复。
2、实现磁盘转换后开始剖析 RAID 的构造。因为多了 3 块离线盘(故障离线后没有插入),须要比拟每块磁盘。因为其中会有两块磁盘后面的一部分雷同,这两块后面局部雷同的磁盘中有一个是旧盘,旧盘数据量没有新盘多,能够排除旧盘。
3、因为故障服务器应用的是 NTFS 文件系统,应用 MFT 就能够找到 RAID 构造。搞清楚 RAID 构造后发现这不是一个一般的 RAID5,而是一个双循环,无奈通过惯例伎俩重组 RAID。
4、通过其余办法重组 RAID 后发现数据不是新的。揣测可能是 RAID5 掉线第一块硬盘时用户没有及时发现,没有及时增加新的硬盘做 rebuild,服务器运行一段时间后又有一块硬盘掉线了,造成整个 RAID 不可用。
5、服务器数据恢复工程师应用穷举 + 校验的办法进行剖析:假如某个磁盘掉线,踢掉该磁盘后重组 RAID,不必生成全副的数据,只生成后面几个 G 的数据,而后通过查看这个索引表的位图信息是否正确就能够判断此 RAID 是否正确。如果索引表的位图信息正确,生成此 RAID 数据即可实现 RAID 的重组。
6、数据恢复实现后由用户亲自核检,数据残缺可用,本次数据恢复实现。
Tips:
1、服务器产生故障后,切忌对服务器进行操作;也不要随便取出硬盘,免得弄乱盘序。
2、如果须要取出硬盘,标记好硬盘的程序之后再取出。
3、服务器阵列瘫痪后应该立刻断电,不要做同步或强制上线操作,避免数据进一步毁坏。
