摘要:簡介: 由于MD3200存儲中虛擬機的數(shù)據(jù)文件丟失,導(dǎo)致整個Hyper-V服務(wù)癱瘓苟跪,虛擬機無法使用蔓涧,故障環(huán)境為Windows Server 2012服務(wù)器,系統(tǒng)中部署了Hyper-V虛擬機環(huán)境元暴,虛擬機的硬盤文件和配置文件放在朝陽區(qū)某托管中心托管的DELL MD3200存儲中(注:硬盤600G*4,4T*1)鉴未。
簡介:
由于MD3200存儲中虛擬機的數(shù)據(jù)文件丟失鸠姨,導(dǎo)致整個Hyper-V服務(wù)癱瘓,虛擬機無法使用连茧,故障環(huán)境為Windows Server 2012服務(wù)器,系統(tǒng)中部署了Hyper-V虛擬機環(huán)境啸驯,虛擬機的硬盤文件和配置文件放在朝陽區(qū)某托管中心托管的DELL MD3200存儲中(注:硬盤600G*4,4T*1)徙鱼。MD3200存儲是由4塊600G硬盤組成的陣列针姿,用作存儲虛擬機的數(shù)據(jù)文件。單塊4T硬盤用作虛擬機數(shù)據(jù)文件的備份杆故。
故障:
由于MD3200存儲中虛擬機的數(shù)據(jù)文件丟失溉愁,導(dǎo)致整個Hyper-V服務(wù)癱瘓,虛擬機無法使用撤蟆。以如下流程進行數(shù)據(jù)檢測:
1堂污、對MD3200存儲服務(wù)器進行物理檢測,發(fā)現(xiàn)存儲并未出現(xiàn)物理故障盟猖,涉事硬盤均正常工作
2式镐、檢查操作系統(tǒng):工作正常中,未發(fā)現(xiàn)出錯進程娘汞,排除因操作系統(tǒng)BUG導(dǎo)致的數(shù)據(jù)丟失。
3惊豺、分析丟失數(shù)據(jù)硬盤的文件系統(tǒng):打開正常禽作,不符合病毒破壞的表現(xiàn)特征,同時經(jīng)殺毒軟件檢測無病毒烹俗。再仔細(xì)分析硬盤的文件系統(tǒng),發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間為11月28日累提,表明文件系統(tǒng)的創(chuàng)建時間為11月28日磁浇,與數(shù)據(jù)丟失的時間相吻合。通常這種故障表明:文件系統(tǒng)被人為重寫了置吓,即分區(qū)被格式化了衍锚。
4、檢查系統(tǒng)日志:發(fā)現(xiàn)系統(tǒng)日志11月28號之前以及當(dāng)天的系統(tǒng)日志已被清空戴质,審核日志和服務(wù)日志卻并未清空告匠。通常情況下,此操作應(yīng)該由人為導(dǎo)致后专。而格式化分區(qū)的操作只記錄在系統(tǒng)日志中,這與上述人為破壞的表現(xiàn)相符裸诽。
5型凳、嘗試恢復(fù)系統(tǒng)日志:仔細(xì)分析硬盤底層數(shù)據(jù),發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋殷蛇,無法恢復(fù)橄浓。
6亮航、分析操作系統(tǒng)中的所有分區(qū):發(fā)現(xiàn)只有MD3200存儲中的兩個分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)了。通常情況下准给,對兩個分區(qū)的格式化需要有兩個獨立的過程,因此這種針對性的操作應(yīng)該由人為導(dǎo)致祖灰。
解決方案
1畔规、備份用戶數(shù)據(jù)
由于數(shù)據(jù)全部都放Dell M3200存儲中,因此只需要恢復(fù)Dell M3200存儲中的數(shù)據(jù)即可三妈。將Dell M3200存儲中所有的硬盤標(biāo)上編號莫绣,然后后從存儲中拔下來交給硬件部門檢測硬盤是否存在物理故障。經(jīng)檢測沒問題后對每塊硬盤做全盤鏡像模燥,使用專用工具(Winhex)將硬盤中所有扇區(qū)鏡像到一塊備份硬盤中掩宜。
如下圖1.:使用專業(yè)工具備份所有硬盤數(shù)據(jù)
2、重組磁盤陣列
鏡像完所RAID 5的相關(guān)信息纠吴,如:條帶大小慧瘤,條帶走向等信息。根據(jù)這些信息即可重組有硬盤后糖儡,分析每塊硬盤上的數(shù)據(jù)怔匣。分析后發(fā)現(xiàn)4塊600G硬盤做了一個RAID5,另一塊4T硬盤是做為數(shù)據(jù)備份使用金闽。仔細(xì)分析4塊600G硬盤中的數(shù)據(jù)結(jié)構(gòu)剿骨,可以得出這個此RAID。
如下圖2.:使用專業(yè)工具重組RAID
如下圖3.:是用專業(yè)工具打開硬盤陣列的情況
3挤庇、掃描舊的文件索引項
仔細(xì)分析硬盤底層數(shù)據(jù),發(fā)現(xiàn)硬盤底層中還殘留著許多以前文件系統(tǒng)的目錄項及文件索引嫡秕。經(jīng)過仔細(xì)核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容昆咽。但由于整個硬盤太大,人工去搜索文件索引會很慢潮改,因此編寫一個提取文件索引項的小程序汇在,對整個硬盤中所有存在的文件索引項做掃描,提取所有文件的文件索引項糕殉。
4阿蝶、分析掃描到文件索引項
對掃描到的所有文件索引項做詳細(xì)的分析,發(fā)現(xiàn)其索引項都是不連續(xù)的羡洁,并且大多都是以16K或8K對齊的。正常情況下的文件索引項是連續(xù)的辛蚊,大小為固定的1K真仲,每個文件索引項對應(yīng)一個文件或目錄秸应。而掃描出來的這些不連續(xù),并且不完整的文件索引項是無法正常索引到文件的內(nèi)容软啼。因此需要對掃描出來的文件索引項做加工處理焰宣。在掃描出來的文件索引項中搜索” .VHD”,能找到一個” .VHD”的文件記錄匕积。然后將這個片連續(xù)的文件索引項提取出來闪唆。接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性。如果有則根據(jù)文件索引項中的特征去匹配下一段文件索引項悄蕾,如果沒有則跳過這段文件索引項帆调。根據(jù)以上方法基本能查到大多數(shù)的文件索引項片段。而缺失的文件索引項片段有可能被破壞了含鳞,但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項片段芹务,因此基本可以搜索到大部分的文件索引項。
如下圖4.:是文件索引項截圖
5枣抱、將文件索引項組成完整的目錄結(jié)構(gòu)
根據(jù)上述方法找到所有的文件索引項佳晶,然后根據(jù)文件索引項的編號將其拼接成整個目錄項結(jié)構(gòu)。以下是搜索到的部分文件索引項中跌,由于有部分文件索引項被破壞淤刃,因此只能找到大部分文件索引項,但這些文件索引項已經(jīng)足以拼接成整個目錄結(jié)構(gòu)了陨仅。
如下圖5.:是掃描到的文件索引項碎片
6:修復(fù)文件系統(tǒng)
將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進行替換铝侵,然后使用專業(yè)工具修改部分校驗值。再使用專業(yè)的工具解釋這個目錄結(jié)構(gòu)即可看到原有丟失的數(shù)據(jù)了狐赡。
如下圖6.:是用專業(yè)工具解釋出來的目錄結(jié)構(gòu)
如下圖7
為了確定數(shù)據(jù)是否正確疟丙,將其中一個最新的VHD文件恢復(fù)出來鸟雏。然后將其拷貝到一臺支持附加VHD的服務(wù)器上孝鹊,嘗試附加此VHD展蒂。結(jié)果附加成功,檢查VHD中最新的數(shù)據(jù)是否完整柳骄。一切檢查完整后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中箕般。
如下圖8:是恢復(fù)出來的所有虛擬機數(shù)據(jù)文件
7、驗證所有數(shù)據(jù)
在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境可柿,將恢復(fù)的虛擬機文件連接到這臺服務(wù)器上丙者。然后通過導(dǎo)入虛擬機的方式,將恢復(fù)的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境目锭。然后讓客戶來驗證所有虛擬機是否完整纷捞。
如下圖9.:是虛擬機導(dǎo)入的過程
如下圖10.
8、遷移所有數(shù)據(jù)
在客戶驗證所有虛擬機沒問題后奖唯,將所有數(shù)據(jù)拷貝至客戶服務(wù)器中糜值。然后利用導(dǎo)入的方式將虛擬機導(dǎo)入到客戶的Hyper-V環(huán)境中,需要以下面的方式導(dǎo)入虛擬機病往,導(dǎo)入后沒有報錯骄瓣,嘗試啟動所有虛擬機,所有虛擬機啟動都沒問題
