【虛擬機器資料恢復】Hyper-V虛擬化檔案丟失的資料恢復案例
虛擬化資料恢復環境:
ESXI虛擬化伺服器;
虛擬機器的硬碟檔案和配置檔案存放在DELL儲存中;
DELL儲存中5塊硬碟組成raid磁碟陣列,4塊硬碟儲存虛擬機器的資料檔案,1塊硬碟儲存虛擬機器資料檔案的備份。
Hyper-V虛擬化故障&分析:
Hyper-V虛擬化檔案丟失,虛擬化伺服器不可用。管理員聯絡我們資料恢復中心進行伺服器資料恢復。
伺服器資料恢復工程師對儲存伺服器進行物理檢測,未發現物理故障,硬碟均正常工作。
檢查作業系統未發現出錯程式,排除因作業系統BUG導致的資料丟失。
分析丟失資料的硬碟的檔案系統:開啟正常,防毒軟體檢測無病毒。分析硬碟的檔案系統,發現檔案系統的元檔案建立時間
和檔案系統的建立時間與資料丟失的時間相吻合。通常這種故障表明檔案系統被人為重寫了,即分割槽被格式化了。
檢查系統日誌:發現某天之前的系統日誌已被清空,稽核日誌和服務日誌並未清空。通常情況下此操作由人為導致。而格式
化分割槽的操作只記錄在系統日誌中,這符合人為破壞的特徵。
嘗試恢復系統日誌。分析硬碟底層資料,發現硬碟底層中需要恢復的系統日誌已被新的日誌記錄覆蓋,無法恢復。
分析作業系統中的所有分割槽發現只有故障儲存中兩個分割槽的檔案系統被重新寫入檔案系統了。通常情況下,對兩個分割槽的格
式化需要有兩個獨立的過程,因此這種針對性的操作應該是人為導致。
定製虛擬機器資料恢復方案:
北亞伺服器資料恢復工程師會診後確定以下資料恢復方案。
1、對丟失資料的硬碟做全盤備份映象備份。
2、分析每個硬碟的底層資料,根據分析獲取到的RAID結構重組RAID陣列。
3、分析重組完的陣列,看能否找到原始檔案索引項及對應的資料區。
4、核對找到的檔案索引項是否符合使用者資料,並檢查相應的資料區有無破壞。
5、將掃描到的檔案索引項碎片拼接成一個完整的目錄結構。
6、根據拼接好的目錄項去底層恢復對應的資料並檢查資料正確性。
7、檢查資料沒問題後恢復出所有資料。
虛擬機器資料恢復過程:
1.備份使用者資料。
將故障儲存中所有的硬碟編號標記後從儲存中拔出來交給硬體工程師檢測硬碟是否存在物理故障。檢測沒有發現問題後對硬
盤做全盤映象,使用資料恢復工具將硬碟中所有扇區映象到一塊備份硬碟中。
使用專業資料恢復工具備份所有硬碟資料。
2、重組磁碟陣列:
分析每塊硬碟上的資料獲取到該RAID 5磁碟陣列的相關資訊:條帶大小,條帶走向等。根據這些資訊重組RAID。
如下圖:使用專業工具重組RAID
如下圖:是用專業工具開啟RAID陣列的情況
3、掃描舊的檔案索引項:
分析硬碟底層資料發現硬碟底層中還殘留著許多以前檔案系統的目錄項及檔案索引。經過核對發現這些檔案索引指向的資料
都是使用者丟失的檔案內容。北亞資料恢復工程師編寫一個提取檔案索引項的小程式掃描整個硬碟中所有的檔案索引項,並提
取出所有檔案的檔案索引項。
4、分析掃描到檔案索引項:
分析所有掃描到的檔案索引項發現索引項均不連續且大多以14K或6K對齊。正常情況下的檔案索引項是連續且大小固定的,
每個檔案索引項對應一個檔案或目錄。掃描出來的這些不連續、不完整的檔案索引項是無法正常索引到檔案的內容,因此
需要對掃描出來的檔案索引項加工處理。在掃描出來的檔案索引項中搜尋” .VHD”,能找到一個” .VHD”的檔案記錄。
然後將這段檔案索引項提取出來。接著再檢視這段提取出來的檔案索引項中是否有指向下一段檔案索引項的記錄或者是H20
屬性。如果有則根據檔案索引項中的特徵去匹配下一段檔案索引項,如果沒有則跳過這段檔案索引項。根據上述方法基本能
查到大多數的檔案索引項片段,缺失的檔案索引項片段有可能被破壞了。可以從資料備份盤中去查詢缺失的檔案索引項片段
,這樣就可以搜尋到大部分的檔案索引項。
如下圖:檔案索引項截圖
5、將檔案索引項組成完整的目錄結構:
根據上述方法找到所有檔案索引項,根據檔案索引項的編號將其拼接成目錄項結構。以下是搜尋到的部分檔案索引項,由於
有部分檔案索引項被破壞,因此只能找到大部分檔案索引項,但這些檔案索引項已經足以拼接成整個目錄結構了。
如下圖:掃描到的檔案索引項碎片
6、修復檔案系統
將重建好的目錄結構和現有檔案系統中的目錄結構進行替換,然後使用資料恢復工具修改部分校驗值。再使用資料恢復工具
解釋這個目錄結構即可看到原來丟失的資料。
如下圖:是用專業工具解釋出來的目錄結構
為了確定資料是否正確,將其中一個最新的VHD檔案恢復出來,然後將其複製到一臺支援附加VHD的伺服器上,嘗試附加
此VHD。附加成功,檢查VHD中最新的資料是否完整,一切檢查完整後將所有資料恢復到一塊硬碟中。
如下圖:是恢復出來的所有虛擬機器資料檔案
驗證資料:
在一臺測試伺服器上搭建Hyper-V的環境,將恢復的虛擬機器檔案連線到這臺伺服器上,透過匯入虛擬機器的方式將恢復的數
據都遷移到新的Hyper-V環境。最後讓管理員來驗證所有虛擬機器是否完整。
如下圖:是虛擬機器匯入的過程
遷移資料:
在管理員驗證完所有虛擬機器資料後確認恢復出來的資料可用完整,將所有資料複製至使用者伺服器中,然後用匯入的方式將
虛擬機器匯入到使用者的Hyper-V環境中。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31380569/viewspace-2909179/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 虛擬機器虛擬磁碟丟失的資料恢復成功案例虛擬機資料恢復
- 虛擬機器未知原因丟失的資料恢復案例虛擬機資料恢復
- 【虛擬機器資料恢復案例】虛擬磁碟丟失,伺服器內資料不可用的資料恢復虛擬機資料恢復伺服器
- 【虛擬化資料恢復】KVM虛擬機器誤刪除資料恢復案例資料恢復虛擬機
- 【伺服器資料恢復】虛擬機器檔案丟失導致Hyper-V癱瘓的資料恢復伺服器資料恢復虛擬機
- 【虛擬機器資料恢復】誤刪除VMware虛擬機器vmdk檔案的資料恢復案例虛擬機資料恢復
- 【伺服器資料恢復】Hyper-V虛擬機器檔案丟失導致服務癱瘓的資料恢復案例伺服器資料恢復虛擬機
- 【伺服器虛擬化資料恢復】ESXI虛擬機器誤操作還原快照導致資料丟失的資料恢復案例伺服器資料恢復虛擬機
- 【虛擬機器資料恢復】VMware ESXi誤刪除虛擬機器的資料恢復案例虛擬機資料恢復
- 【伺服器資料恢復】VMware虛擬機器磁碟檔案恢復案例伺服器資料恢復虛擬機
- 伺服器資料恢復-VMwave虛擬化資料恢復案例伺服器資料恢復
- 【虛擬機器資料恢復】VMware ESX SERVER資料恢復案例虛擬機資料恢復Server
- 【虛擬機器資料恢復】EXSI虛擬機器誤還原快照的資料恢復案例虛擬機資料恢復
- 【虛擬機器資料恢復】ESXI虛擬機器被誤還原快照的資料恢復案例虛擬機資料恢復
- 【伺服器資料恢復】ESXi虛擬機器資料恢復案例伺服器資料恢復虛擬機
- 虛擬機器資料丟失恢復過程記錄虛擬機
- 【伺服器資料恢復】VMware esxi虛擬機器資料恢復案例伺服器資料恢復虛擬機
- 【伺服器資料恢復】異常斷電導致虛擬機器檔案丟失不能啟動的資料恢復案例伺服器資料恢復虛擬機
- 【虛擬機器資料恢復】FreeNAS+ESXi資料恢復案例虛擬機資料恢復
- VMware虛擬機器資料恢復虛擬機資料恢復
- 【虛擬機器資料恢復】Linux系統下誤刪除KVM虛擬機器的資料恢復案例虛擬機資料恢復Linux
- 【虛擬機器資料恢復】異常斷電導致虛擬機器無法啟動的資料恢復案例虛擬機資料恢復
- 【伺服器資料恢復】Linux下KVM虛擬機器資料恢復案例伺服器資料恢復Linux虛擬機
- 【伺服器資料恢復】VMware虛擬化重灌系統的資料恢復案例伺服器資料恢復
- 【虛擬機器資料恢復】意外斷電導致XenServer虛擬機器不可用的資料恢復虛擬機資料恢復Server
- RMAN恢復案例:丟失全部資料檔案恢復
- 【Vsan資料恢復】斷電導致Vsan分散式儲存虛擬磁碟檔案丟失的資料恢復案例資料恢復分散式
- 【虛擬機器資料恢復】碎片拼接恢復XenServer伺服器被刪除的虛擬機器虛擬機資料恢復Server伺服器
- 伺服器資料恢復-EqualLogic PS儲存中虛擬機器資料恢復案例伺服器資料恢復虛擬機
- 【伺服器虛擬化資料恢復】Xen Server環境下資料庫資料恢復案例伺服器資料恢復Server資料庫
- 【伺服器資料恢復】XenServer虛擬機器被誤操作刪除的資料恢復案例伺服器資料恢復Server虛擬機
- 【伺服器資料恢復】伺服器誤刪除KVM虛擬機器的資料恢復案例伺服器資料恢復虛擬機
- 虛擬化還原快照導致資料丟失恢復過程
- 虛擬機器vmdk檔案刪除後如何恢復資料虛擬機
- 【伺服器資料恢復】xfs檔案系統資料丟失的資料恢復案例伺服器資料恢復
- VMWARE ESX SERVER虛擬化資料恢復Server資料恢復
- 【Vsan資料恢復】非正常關機導致vsan儲存架構中虛擬機器磁碟檔案丟失的資料恢復資料恢復架構虛擬機
- 誤刪除ESXi虛擬機器資料恢復虛擬機資料恢復