服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

Windows Server服務(wù)器，部署Hyper-V虛擬機環(huán)境;

虛擬機的硬盤文件和配置文件存放在某托管中心的存儲設(shè)備中;

存儲設(shè)備中4塊硬盤組成陣列存儲虛擬機的數(shù)據(jù)文件，單塊4T硬盤存儲虛擬機數(shù)據(jù)文件備份。

服務(wù)器故障分析&恢復(fù)方案：

由于存儲設(shè)備中的虛擬機數(shù)據(jù)文件丟失，整個Hyper-V服務(wù)癱瘓，虛擬機無法使用。管理員聯(lián)系我們數(shù)據(jù)恢復(fù)中心尋求幫助，北亞數(shù)據(jù)恢復(fù)工程師團隊對故障存儲服務(wù)器進行檢測：

1、檢測故障存儲服務(wù)器沒有發(fā)現(xiàn)物理故障，硬盤均可以正常工作。

2、檢查操作系統(tǒng)沒有發(fā)現(xiàn)出錯進程，排除因操作系統(tǒng)問題導(dǎo)致的數(shù)據(jù)丟失。

3、分析丟失數(shù)據(jù)的硬盤的文件系統(tǒng)：打開正常，排除入侵破壞的可能性。在分析硬盤的文件系統(tǒng)過程中發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間與數(shù)據(jù)丟失的時間相吻合。發(fā)現(xiàn)這種情況，數(shù)據(jù)恢復(fù)工程師初步判斷文件系統(tǒng)被人為重寫，即分區(qū)被格式化。

4、檢查系統(tǒng)日志發(fā)現(xiàn)數(shù)據(jù)丟失的當天和之前的系統(tǒng)日志已被清空，審核日志和服務(wù)日志卻并未清空，這種情況符合人為操作的特征。格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這也與人為破壞的特征相符。

5、分析硬盤的底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。

6、對操作系統(tǒng)中的所有分區(qū)進行分析，發(fā)現(xiàn)故障存儲中只有兩個分區(qū)被重新寫入文件系統(tǒng)。對兩個分區(qū)的格式化需要有兩個獨立的過程，這種針對性的操作更加驗證本案例的故障是人為導(dǎo)致。

根據(jù)故障分析結(jié)論，北亞數(shù)據(jù)恢復(fù)工程師團隊敲定以下恢復(fù)方案：

1、對故障存儲中的所有硬盤做全盤備份。

2、分析每個硬盤的數(shù)據(jù)獲取到RAID相關(guān)信息，重組RAID陣列。

3、對重組的陣列進行分析，看能否找到原有的文件索引項及對應(yīng)的數(shù)據(jù)區(qū)。

4、核對查找到的文件索引項是否符合用戶數(shù)據(jù)，并核對相應(yīng)的數(shù)據(jù)區(qū)有無破壞。

5、將掃描到的文件索引項碎片拼接成一個完整的目錄結(jié)構(gòu)。

6、根據(jù)拼接好的目錄項去底層恢復(fù)對應(yīng)的數(shù)據(jù)，并檢查數(shù)據(jù)是否正確。

7、核對數(shù)據(jù)沒問題后恢復(fù)所有數(shù)據(jù)。

服務(wù)器數(shù)據(jù)恢復(fù)過程：

1、備份用戶數(shù)據(jù)。

由于數(shù)據(jù)全部都放在托管中心的存儲設(shè)備中，因此只需要恢復(fù)存儲設(shè)備中的數(shù)據(jù)即可。將故障存儲中所有的硬盤編號后從存儲設(shè)備中取出交給硬件工程師檢測硬盤物理故障。檢測完成后對每塊硬盤做全盤鏡像，使用工具將硬盤中所有扇區(qū)鏡像到備份硬盤中。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

2、重組RAID磁盤陣列。

分析每塊硬盤數(shù)據(jù)獲取RAID相關(guān)信息(條帶大小，條帶走向等)，根據(jù)這些信息重組RAID。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

3、掃描舊的文件索引項。

分析硬盤底層數(shù)據(jù)，服務(wù)器數(shù)據(jù)恢復(fù)工程師發(fā)現(xiàn)硬盤底層中殘留著許多以前文件系統(tǒng)的目錄項及文件索引。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。北亞數(shù)據(jù)恢復(fù)工程師編寫了一個提取文件索引項的小程序掃描并提取硬盤中所有存在的文件索引項。

4、分析掃描到文件索引項。

對掃描到的文件索引項進行分析，北亞數(shù)據(jù)恢復(fù)工程師發(fā)現(xiàn)索引項都是不連續(xù)的，并且大多是以16K或8K對齊的。正常情況下的文件索引項是連續(xù)的，大小為固定的1K，每個文件索引項對應(yīng)一個文件或目錄。而掃描出來的這些不連續(xù)且不完整的文件索引項是無法正常索引到文件的內(nèi)容。北亞數(shù)據(jù)恢復(fù)工程師對掃描出來的文件索引項做加工處理，對于被破壞的缺失文件索引項片段，我們可以從數(shù)據(jù)備份盤中去查找。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

5、將文件索引項組成完整的目錄結(jié)構(gòu)。

根據(jù)文件索引項的編號將找到的文件索引項拼接成目錄項結(jié)構(gòu)。由于有部分文件索引項被破壞，因此只能找到大部分文件索引項，但通過這些找到的文件索引項已經(jīng)可以拼接出整個目錄結(jié)構(gòu)。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

6、修復(fù)文件系統(tǒng)。

用重建好的目錄結(jié)構(gòu)替換現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)，使用工具修改部分校驗值，然后再使用工具解釋這個目錄結(jié)構(gòu)即可看到丟失的數(shù)據(jù)。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

為了確定數(shù)據(jù)是否正確，將其中一個最新的VHD文件恢復(fù)出來并拷貝到一臺支持附加VHD的服務(wù)器上嘗試附加此VHD，附加成功，檢查VHD中最新的數(shù)據(jù)是否完整后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

驗證數(shù)據(jù)：

在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境，將恢復(fù)出來的虛擬機文件連接到這臺服務(wù)器上。通過導(dǎo)入虛擬機的方式將恢復(fù)出來的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境，讓用戶來驗證所有虛擬機是否完整。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

遷移數(shù)據(jù)：

在用戶驗證所有虛擬機沒問題后，將所有數(shù)據(jù)拷貝至用戶服務(wù)器中。利用導(dǎo)入的方式將虛擬機導(dǎo)入到用戶的Hyper-V環(huán)境中，導(dǎo)入后沒有報錯，嘗試啟動所有虛擬機成功，沒有發(fā)現(xiàn)問題。數(shù)據(jù)恢復(fù)完成。

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

審核編輯：湯梓紅