【伺服器資料恢復】VMware虛擬機器磁碟檔案恢復案例

伺服器資料恢復環境：

一臺某品牌PowerEdge系列伺服器和一臺PowerVault系列儲存，上層是ESXI虛擬機器檔案，虛擬機器中執行SQL Server資料庫。

伺服器故障：

機房非正常斷電導致虛擬機器無法啟動。管理員檢查虛擬機器發現虛擬機器配置檔案丟失，所幸的是xxx-flat.vmdk磁碟檔案和

xxx-000001-delta.vmdk快照檔案沒有丟失。管理員嘗試恢復虛擬機器，將原虛擬機器的xxx-flat.vmdk刪除後新建了一個虛

擬機，分配了幾百GB的精簡模式和幾百GBGB的快照資料盤，但是並沒有將原虛擬機器內的資料恢復出來。

伺服器資料恢復過程：

1、將掛載在VMware vSphere Client上的卷解除安裝後做映象備份，後續的資料分析和資料恢復操作都基於映象檔案進行

，避免對原始資料造成二次破壞。

2、經過對映象檔案進行檢測&分析後發現：a、斷電導致虛擬機器目錄項已經損壞；b、刪除檔案操作導致檔案的資料區

索引被清除；c、重建虛擬機器操作導致分配給新建虛擬機器的磁碟空間的資料底層被清零。前兩種情況可以透過人工修復

來恢復資料，但如果第三種情況是新建虛擬機器的磁碟空間佔用了原虛擬機器的釋放空間，這部分空間的資料則無法恢復，

需要進一步檢測才能確定是否出現這種情況。

虛擬機器目錄項:

3、資料恢復工程師分析底層資料，在自由空間內排查被刪除的虛擬機器磁碟區域，掃描這部分割槽域發現了大量的碎片並

拼接&重組這些碎片，但是經過拼接&重組後發現有部分碎片檔案缺失，只能暫時將缺失的檔案碎片位置留空。

4、利用虛擬磁碟快照程式將重組好的父盤和快照盤合併，生成一個新的虛擬磁碟。

5、解釋虛擬磁碟中的檔案系統，因為資料缺失，檔案系統解釋過程中出現很多報錯，提示某些檔案損壞。

檔案系統解釋結果:

6、在解析完檔案系統後發現沒有找到原始的資料庫檔案。宏橋備份和索菲備份這兩個目錄的目錄結構正常，但是在嘗試

將備份匯入到資料庫中時提示報錯。

宏橋備份和索菲備份的部分目錄結構：

匯入.BAK檔案報錯資訊:

7、根據SQL Server資料庫的結構去自由空間中找到資料庫的開始位置。SQL Server資料庫的庫名通常在庫的第九頁內

，根據這一特性在底層掃描資料庫頁碎片，然後利用掃描出來的碎片重組mdf檔案，在本案例中除了cl_system3.dbf和

erp42_jck.dbf因有部分碎片

沒有找到外（極有可能被覆蓋了），其餘資料庫均校驗成功。

校驗完的MDF檔案：

cl_system3.dbf檔案中某個碎片丟失的區域：

8、詳細檢查備份檔案依然沒有找到這兩個丟失的檔案，只有部分增量備份檔案。由於erp42_jck.dbf檔案中只缺失少量

的頁，根據缺失的頁號在增量備份中查詢，再將找到的頁補到erp42_jck.dbf檔案中，透過這個辦法可以恢復一部分丟失

的資料庫頁。但是補完後發現還是缺失部分頁，無法正常使用。

9、透過北亞企安自主開發的資料庫解析程式將erp42_jck.dbf檔案中重要的幾十張表匯出，並匯入到新建的資料庫中，

恢復出缺失的檔案。

10、重新搭建原始環境，將恢復出來的資料匯入到新搭建的環境中，由使用者親自驗證資料庫的完整性，驗證後確認所有

資料完整、資料庫掛載成功、上層應用執行正常，本次資料恢復工作完成。