0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

服务器数据恢复-虚拟机的文件丢失导致Hyper-V服务瘫痪的数据恢复案例

Frombyte 来源:Frombyte 作者:Frombyte 2023-08-09 14:54 次阅读

服务器数据恢复环境:
一台Windows Server服务器,部署Hyper-V虚拟化环境,虚拟机的硬盘文件和配置文件存放在一台DELL存储中。该存储中有一组由4块硬盘组建的RAID5阵列,用来存放虚拟机的数据文件,另外还有一块大容量硬盘用来存放虚拟机数据文件的备份。

服务器故障&检测分析:
存储中虚拟机的数据文件丢失,Hyper-V服务瘫痪,虚拟机无法使用。
1、对存储进行物理故障检测,未发现存储存在物理故障,存储中所有硬盘均可以正常识别。
2、服务器操作系统工作正常,未发现有出错进程。
3、丢失数据硬盘的文件系统打开正常,杀毒软件检测无病毒。经过分析发现丢失数据硬盘的文件系统元文件创建时间与数据丢失的时间吻合,这种情况表明文件系统被人为重写了,即分区被格式化了。
4、检查系统日志发现数据丢失之前和数据丢失当天的系统日志被清空,审核日志和服务日志却还在。此操作一般是人为的。因为格式化分区操作只记录在系统日志中,这与人为破坏的特征相符。
5、仔细分析硬盘底层数据,发现底层中需要恢复的系统日志已被新的日志记录覆盖,无法恢复。
6、分析操作系统中的所有分区,发现只有存储中的两个分区被重新写入文件系统。因为格式化两个分区需要两个独立的过程,进一步表明数据丢失是人为造成的。

服务器数据恢复方案:
根据前面的的故障分析结果,北亚企安数据恢复工程师敲定了数据恢复方案:
备份用户数据→重组RAID5阵列→查找原文件索引项及对应的数据区→将扫描到的文件索引项碎片拼接成完整的目录结构→根据拼接好的目录项去底层恢复对应的数据→核对数据没问题后恢复所有数据。

服务器数据恢复过程:
1、将故障存储中所有的硬盘编号取出后检测物理故障。经过检测没有发现有物理硬盘存在硬件故障。将每块硬盘以只读方式做全盘镜像备份,备份完成后将磁盘按照编号还原到原存储中。后续的数据分析和数据恢复都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
备份所有硬盘数据:

wKgZomTTN6qAWIF8AAM51-OjElE231.png

北亚企安数据恢复——Hyper-V数据恢复



2、基于镜像文件分析条带大小、条带走向等RAID相关信息。根据这些RAID相关信息重组RAID5阵列。
重组RAID:

wKgaomTTN76AYXhFAAM5fCocEOU608.png

北亚企安数据恢复——Hyper-V数据恢复



硬盘阵列:

wKgaomTTN8WALSthAAQXKQ_RslE076.png

北亚企安数据恢复——Hyper-V数据恢复



3、基于镜像文件分析硬盘底层数据,发现了许多原文件系统的目录项及文件索引残留。经过核对发现这些文件索引指向的数据都是用户丢失的文件内容。北亚企安数据恢复工程师编写提取文件索引项的小程序扫描查找所有存在的文件索引项,提取所有找到的文件索引项。
4、分析扫描到的所有文件索引项,发现索引项都是不连续的,大多是以16K或8K对齐的。正常情况下,文件索引项是连续的且大小为固定的1K,每个文件索引项对应一个文件或目录。而扫描出来的这些不连续且不完整的文件索引项是无法正常索引到文件的内容。经过北亚企安数据恢复工程师的处理后已经能查到大多数的文件索引项片段。缺失的文件索引项片段可能被破坏,可以从数据备份盘中查找缺失的文件索引项片段。
文件索引项截图:

wKgaomTTN8yAeex5AAWDSyaIrVA788.png

北亚企安数据恢复——Hyper-V数据恢复



5、根据文件索引项的编号将找到的所有的文件索引项拼接成一个完整的目录项结构。
扫描到的文件索引项碎片:

wKgZomTTN9SAO1GLAAHRRgcAm-U152.png

北亚企安数据恢复——Hyper-V数据恢复



6、将拼接好的目录结构替换现有文件系统中的目录结构并修改部分校验值,解释这个目录结构后就可以看到丢失的数据。
解释出来的目录结构:

wKgaomTTN92AThKYAAO2ZFQphU8905.png

北亚企安数据恢复——Hyper-V数据恢复

wKgZomTTN92AcU5nAAL7mwrxuJg407.png

北亚企安数据恢复——Hyper-V数据恢复



7、为了验证数据是否正确,将其中一个较新的VHD文件恢复出来,将其拷贝到一台支持附加VHD的服务器上,尝试附加此VHD,结果附加成功。经过检查确认该VHD数据完整,然后将所有数据恢复到一块硬盘中。
恢复出来的所有虚拟机数据文件:

wKgZomTTN-iATaw2AAKUznrAnAs580.png

北亚企安数据恢复——Hyper-V数据恢复



8、在一台测试服务器上搭建Hyper-V的环境。通过导入虚拟机的方式将恢复的数据迁移到Hyper-V环境。然后交由用户验证所有虚拟机是否完整。
导入虚拟机:

wKgZomTTN_SAEfeuAAGyXmxs26A338.png

北亚企安数据恢复——Hyper-V数据恢复

wKgZomTTN_SAdeORAAZH82x_8Qo746.png

北亚企安数据恢复——Hyper-V数据恢复



9、用户验证完所有虚拟机没有发现问题。将所有数据拷贝至用户准备好的服务器中,将虚拟机导入到用户准备好的Hyper-V环境中,导入后无报错。尝试启动所有虚拟机都没有问题。

wKgaomTTOAKAEvJ5AAJ8naPzHJo094.png

北亚企安数据恢复——Hyper-V数据恢复

wKgaomTTOAKAX6xOAALOE8hbZqw987.png

北亚企安数据恢复——Hyper-V数据恢复

wKgZomTTOAKAP6yFAAOTKsB0a58687.png

北亚企安数据恢复——Hyper-V数据恢复


审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 存储
    +关注

    关注

    13

    文章

    4308

    浏览量

    85820
  • 服务器
    +关注

    关注

    12

    文章

    9140

    浏览量

    85378
  • 数据恢复
    +关注

    关注

    10

    文章

    570

    浏览量

    17442
收藏 人收藏

    评论

    相关推荐

    虚拟数据恢复——Hyper-V虚拟机数据恢复案例

    虚拟数据恢复环境: Windows Server操作系统服务器上部署Hyper-V虚拟机环境
    的头像 发表于 10-25 09:26 190次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>——<b class='flag-5'>Hyper-V</b><b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟机数据恢复—异常断电导致XenServer虚拟机不可用的数据恢复案例

    虚拟机有两个虚拟机磁盘(系统盘 + 数据盘),虚拟机作为Web服务器使用。 虚拟机故障&分
    的头像 发表于 10-21 14:17 195次阅读
    <b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>XenServer<b class='flag-5'>虚拟机</b>不可用的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复—异常断电导致VMware虚拟机文件丢失数据恢复案例

    某品牌服务器(部署VMware EXSI虚拟机)+同品牌存储(存放虚拟机文件)。
    的头像 发表于 09-14 17:35 444次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>VMware<b class='flag-5'>虚拟机</b><b class='flag-5'>文件</b><b class='flag-5'>丢失</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—意外断电导致虚拟机虚拟磁盘损坏的数据恢复案例

    使用。 服务器故障: 因机房异常断电导致服务器中一台VPS(Xen Server虚拟机)不可用,虚拟磁盘
    的头像 发表于 09-10 17:25 341次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—意外断电<b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b><b class='flag-5'>虚拟</b>磁盘损坏的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟机数据恢复—KVM虚拟机被误删除的数据恢复案例

    虚拟机数据恢复环境: Linux操作系统服务器,EXT4文件系统。服务器中有数台KVM
    的头像 发表于 08-07 13:33 454次阅读
    <b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—KVM<b class='flag-5'>虚拟机</b>被误删除的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复Hyper-V服务瘫痪导致虚拟机无法使用的数据恢复

    一台服务器上部署的Hyper-V虚拟化平台,虚拟机的硬盘文件和配置文件放在一台某品牌MD3200
    的头像 发表于 07-31 11:56 322次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—<b class='flag-5'>Hyper-V</b><b class='flag-5'>服务</b><b class='flag-5'>瘫痪</b><b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b>无法使用的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>

    服务器数据恢复—异常断电导致虚拟机配置文件丢失数据恢复案例

    服务器数据恢复环境: 某品牌X3850系列服务器(用于VMware虚拟主机)+某品牌RD220i系列存储(用于存放
    的头像 发表于 06-28 16:34 357次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b>配置<b class='flag-5'>文件</b><b class='flag-5'>丢失</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—误删除KVM虚拟机数据恢复案例

    1台服务器,Linux操作系统+EXT4文件系统,部署了数台KVM虚拟机,每台虚拟机包含一个qcow2格式的磁盘文件,和一个raw格式的磁盘
    的头像 发表于 06-17 15:10 355次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—误删除KVM<b class='flag-5'>虚拟机</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—EMC Isilon存储中虚拟机数据恢复案例

    、AS、TS类型的视频文件等。需要恢复数据虚拟机通过NFS协议共享到ESX主机,视频文件通过CIFS协议共享给虚拟机(WEB
    的头像 发表于 06-13 13:38 394次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—EMC Isilon存储中<b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—异常断电导致VMware虚拟机无法启动的数据恢复案例

    服务器数据恢复环境: 某大厂PS4000服务器服务器上部署VMware ESXi虚拟化平台。
    的头像 发表于 05-29 11:29 1102次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>VMware<b class='flag-5'>虚拟机</b>无法启动的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—KVM虚拟机raw格式磁盘文件数据恢复案例

    服务器数据恢复环境: 一台服务器安装Linux操作系统+EXT4文件系统。服务器上运行数台KV
    的头像 发表于 05-17 13:33 443次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—KVM<b class='flag-5'>虚拟机</b>raw格式磁盘<b class='flag-5'>文件数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—VMware虚拟机无法启动的数据恢复案例

    服务器数据恢复环境: 某品牌EVA某型号存储中部署VMware ESXi虚拟化平台,数据盘(精简模式)+快照
    的头像 发表于 05-06 13:26 508次阅读

    服务器数据恢复-异常断电导致服务器故障的数据恢复案例

    服务器数据恢复环境: dell某型号服务器中有一组通过raid卡组建的raid10,该raid阵列中一共有4块磁盘。上层部署XenServer虚拟
    的头像 发表于 02-28 15:15 843次阅读
    <b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>-异常断电<b class='flag-5'>导致</b><b class='flag-5'>服务器</b>故障的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务器数据恢复—非正常关机导致服务器文件丢失数据恢复案例

    服务器数据恢复环境: 某品牌PowerEdge R730服务器+PowerVault MD3200存储,划分若干lun,操作系统版本是centos7,EXT4
    的头像 发表于 01-19 13:42 520次阅读

    服务器数据恢复Hyper-V虚拟服务瘫痪数据恢复案例

    Windows Server操作系统服务器,部署Hyper-V虚拟化环境,虚拟机的硬盘文件和配置文件
    的头像 发表于 01-10 16:41 541次阅读
    【<b class='flag-5'>服务器</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>】<b class='flag-5'>Hyper-V</b><b class='flag-5'>虚拟</b>化<b class='flag-5'>服务</b><b class='flag-5'>瘫痪</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例