服務器數(shù)據(jù)恢復環(huán)境：

Windows Server服務器，部署Hyper-V虛擬機環(huán)境;

虛擬機的硬盤文件和配置文件存放在某托管中心的存儲設備中;

存儲設備中4塊硬盤組成陣列存儲虛擬機的數(shù)據(jù)文件，單塊4T硬盤存儲虛擬機數(shù)據(jù)文件備份。

服務器故障分析&恢復方案：

由于存儲設備中的虛擬機數(shù)據(jù)文件丟失，整個Hyper-V服務癱瘓，虛擬機無法使用。管理員聯(lián)系我們數(shù)據(jù)恢復中心尋求幫助，北亞數(shù)據(jù)恢復工程師團隊對故障存儲服務器進行檢測：

1、檢測故障存儲服務器沒有發(fā)現(xiàn)物理故障，硬盤均可以正常工作。

2、檢查操作系統(tǒng)沒有發(fā)現(xiàn)出錯進程，排除因操作系統(tǒng)問題導致的數(shù)據(jù)丟失。

3、分析丟失數(shù)據(jù)的硬盤的文件系統(tǒng)：打開正常，排除入侵破壞的可能性。在分析硬盤的文件系統(tǒng)過程中發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間與數(shù)據(jù)丟失的時間相吻合。發(fā)現(xiàn)這種情況，數(shù)據(jù)恢復工程師初步判斷文件系統(tǒng)被人為重寫，即分區(qū)被格式化。

4、檢查系統(tǒng)日志發(fā)現(xiàn)數(shù)據(jù)丟失的當天和之前的系統(tǒng)日志已被清空，審核日志和服務日志卻并未清空，這種情況符合人為操作的特征。格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這也與人為破壞的特征相符。

5、分析硬盤的底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復。

6、對操作系統(tǒng)中的所有分區(qū)進行分析，發(fā)現(xiàn)故障存儲中只有兩個分區(qū)被重新寫入文件系統(tǒng)。對兩個分區(qū)的格式化需要有兩個獨立的過程，這種針對性的操作更加驗證本案例的故障是人為導致。

根據(jù)故障分析結論，北亞數(shù)據(jù)恢復工程師團隊敲定以下恢復方案：

1、對故障存儲中的所有硬盤做全盤備份。

2、分析每個硬盤的數(shù)據(jù)獲取到RAID相關信息，重組RAID陣列。

3、對重組的陣列進行分析，看能否找到原有的文件索引項及對應的數(shù)據(jù)區(qū)。

4、核對查找到的文件索引項是否符合用戶數(shù)據(jù)，并核對相應的數(shù)據(jù)區(qū)有無破壞。

5、將掃描到的文件索引項碎片拼接成一個完整的目錄結構。

6、根據(jù)拼接好的目錄項去底層恢復對應的數(shù)據(jù)，并檢查數(shù)據(jù)是否正確。

7、核對數(shù)據(jù)沒問題后恢復所有數(shù)據(jù)。

服務器數(shù)據(jù)恢復過程：

1、備份用戶數(shù)據(jù)。

由于數(shù)據(jù)全部都放在托管中心的存儲設備中，因此只需要恢復存儲設備中的數(shù)據(jù)即可。將故障存儲中所有的硬盤編號后從存儲設備中取出交給硬件工程師檢測硬盤物理故障。檢測完成后對每塊硬盤做全盤鏡像，使用工具將硬盤中所有扇區(qū)鏡像到備份硬盤中。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

2、重組RAID磁盤陣列。

分析每塊硬盤數(shù)據(jù)獲取RAID相關信息(條帶大小，條帶走向等)，根據(jù)這些信息重組RAID。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

3、掃描舊的文件索引項。

分析硬盤底層數(shù)據(jù)，服務器數(shù)據(jù)恢復工程師發(fā)現(xiàn)硬盤底層中殘留著許多以前文件系統(tǒng)的目錄項及文件索引。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內容。北亞數(shù)據(jù)恢復工程師編寫了一個提取文件索引項的小程序掃描并提取硬盤中所有存在的文件索引項。

4、分析掃描到文件索引項。

對掃描到的文件索引項進行分析，北亞數(shù)據(jù)恢復工程師發(fā)現(xiàn)索引項都是不連續(xù)的，并且大多是以16K或8K對齊的。正常情況下的文件索引項是連續(xù)的，大小為固定的1K，每個文件索引項對應一個文件或目錄。而掃描出來的這些不連續(xù)且不完整的文件索引項是無法正常索引到文件的內容。北亞數(shù)據(jù)恢復工程師對掃描出來的文件索引項做加工處理，對于被破壞的缺失文件索引項片段，我們可以從數(shù)據(jù)備份盤中去查找。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

5、將文件索引項組成完整的目錄結構。

根據(jù)文件索引項的編號將找到的文件索引項拼接成目錄項結構。由于有部分文件索引項被破壞，因此只能找到大部分文件索引項，但通過這些找到的文件索引項已經(jīng)可以拼接出整個目錄結構。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

6、修復文件系統(tǒng)。

用重建好的目錄結構替換現(xiàn)有文件系統(tǒng)中的目錄結構，使用工具修改部分校驗值，然后再使用工具解釋這個目錄結構即可看到丟失的數(shù)據(jù)。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

為了確定數(shù)據(jù)是否正確，將其中一個最新的VHD文件恢復出來并拷貝到一臺支持附加VHD的服務器上嘗試附加此VHD，附加成功，檢查VHD中最新的數(shù)據(jù)是否完整后將所有數(shù)據(jù)恢復到一塊硬盤中。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

驗證數(shù)據(jù)：

在一臺測試服務器上搭建Hyper-V的環(huán)境，將恢復出來的虛擬機文件連接到這臺服務器上。通過導入虛擬機的方式將恢復出來的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境，讓用戶來驗證所有虛擬機是否完整。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

遷移數(shù)據(jù)：

在用戶驗證所有虛擬機沒問題后，將所有數(shù)據(jù)拷貝至用戶服務器中。利用導入的方式將虛擬機導入到用戶的Hyper-V環(huán)境中，導入后沒有報錯，嘗試啟動所有虛擬機成功，沒有發(fā)現(xiàn)問題。數(shù)據(jù)恢復完成。

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

審核編輯：湯梓紅