南京市某政府部门vSphere4误删除虚拟机数据恢复案例

bloger 撰写  |  2012/03/26 14:08 发表在 北亚数据恢复  |  评论 (0)

北亚数据恢复中心  南京市某政府部门vSphere4误删除虚拟机数据恢复案例

【单位】
南京市某政府部门
【数据恢复故障描述】

运维人员在一vSphere4服务器的一VMFS卷空间暴满后,误将一台windows server 2003 的虚拟机删除。
【数据恢复故障分析与过程】
此windows server 2003 虚拟机是一OA系统,跑有一 SQL Server 2005 数据库同时存放大量的office文件,此台虚拟机数据极其重要,客户联系多家数据恢复公司,因为不懂vSphere的VMFS文件系统结构,均不敢提供上门恢复服务。
客户联系到北京北亚数据恢复中心后,北京北亚数据恢复马上制定一套数据恢复方案,客户确定,签署合同后,马上飞往南京开始实施数据恢复。
在现场分析,删除的虚拟机由两块虚拟磁盘组成,其中一块为C盘,40G大小。一块为D盘,200G大小,虚拟磁盘类型为精简模式,并且做有快照,快照达140G之巨。客户的重要数据全在D盘上。
客户提供一台4U服务器作为临时数据恢复服务器,并且通过光纤早已将此VMFS卷完整镜像到此数据恢复临时服务器上。
使用北亚数据恢复中心自行研发的 vSphere的VMFS文件系统数据恢复软件:Frombyte Recovery For ESX 3.2 轻易恢复出原始 200G的虚拟磁盘,然后使用Frombyte Recovery For ESX 的内部版的Debug功能进行快照文件碎片收集,历时3小时收集并组合了此快照文件的所有碎片,并通过北亚数据恢复中心自主研发的 ESX快照反写工具,将此140G的快照文件往原始 200G的虚拟磁盘中合并,完成后,经用户检验,仅有最后几个后写入的文件因VMFS卷空间暴满和RAID缓冲的问题没有写入虚拟机,其它文件和数据库均无任何问题。

【数据恢复结论】

用时12小时,数据完美恢复成功。

 

【负责工程师】

北亚数据恢复中心 尹修建

联系方式:010-82488636-804

邮箱:yxj@datahf.net

QQ : 408202843

南京12盘Linux RAID6同步成RAID5恢复案例

bloger 撰写  |  2012/03/26 14:08 发表在 北亚数据恢复  |  评论 (0)

【单位】

南京市某大型公司

 

【数据恢复故障描述】

原存储为12块2T硬盘组成的Linux RAID6,文件系统均为EXT3,此存储上划有3个LUN,每个均为6TB大小,某天在RAID失效后,维护人员为了抢救数据,对此失效的存储重进行分配RAID,并进行了初始化。

初始化进行很长时间后,维护人员看情况不对,便强制停止初始化,但初始化已达到 50%以上。数据部分已被不可逆的破坏。

 

【数据恢复故障分析】

此案例开始仅是RAID失效,原始依旧完好的存在,但维护人员后面抢救数据过程中用11块硬盘进行重分配RAID5,并进行长时间的初始化,这对原始数据是不可逆的损坏,后面经证明,仅第三个LUN可用普通RAID6方法恢复出数据,但第三个LUN没客户要的重要的数据,重要的数据主要集中在第一个LUN。

此案例由于其的复杂性,在国内转手多次,经过多家知名的数据恢复公司着手,仍无法解决,恢复价格便一路水涨船高,客户最后只得送修到北京北亚数据恢复中心。

 

 

【数据恢复过程】

恢复过程分成4步:

1. 分析原始12块磁盘RAID6的RAID和磁盘的组织结构。

2. 分析重分配RAID5时RAID和磁盘的组织结构。

3. 判断可恢复性,以及怎么实现恢复程序的算法。

4. 恢复及修复。

很容易分析出原始RAID6的结构,但分析重分配RAID5的结构时也花费了 1天的时间,因为底层RAID6和RAID5大量的信息重合。

第一步和第二步已完成,经分析,被初始化破坏的数据可用其它方法进行还原,制定出恢复算法,花费一天写程序及进行程序算法的校正,程序把12块磁盘中原始数据的第一和第二个LUN分别镜像到北亚数据恢复公司搭好的两个7TB 的存储上。

经验证第二个LUN数据完全正常,但最重要的第一个LUN前有大约有10MB数据的破坏,这前 10MB数据很要命,EXT的根目录和第一个块组的I节点全在这前10MB里面,然后使用使用数据恢复常用的软件UFS Explorer 和 R-Studio 的恢复效果都相当不理想 ,可能是存储较大的原因。

北京北亚数据恢复中心只得自行修复损坏的EXT3文件系统,自行写一个程序进行EXT3孤目录查找,找到了根目录下有3个了目录,重建根目录和I节点,用 UFS Explorer 打开已完全正常,但为了保证原始数据的一些权限和属性,北京北亚数据恢复中心在LINUX简单修复,LINUX已能正常挂载,然后在LINUX把文件用 cp 命令进行拷贝格式化好的EXT3 的单块磁盘的分区上。这样客户使用数据时,不再需要别的任何设置,直接 cp 后,文件目录结构和属性都和原来一模一样。

 

【数据恢复结论】

用时6天,数据100%恢复成功。

 

【负责工程师】

北亚数据恢复中心 尹修建

联系方式: 010-82488636-804

邮箱:yxj@datahf.net

QQ : 408202843

无锡市政府vSphere4虚拟机迁移出错数据恢复案例

bloger 撰写  |  2012/03/26 14:08 发表在 北亚数据恢复  |  评论 (0)

【单位】

无锡市政府

 

【数据恢复故障描述】

管理员在vSphere4中迁移一OA系统的虚拟机时出错,导致虚拟机快照失效,有近2天的数据丢失。

【数据恢复故障分析与过程】

此OA系统数据极其重要,虽只缺两天的数据,但上级领导压力极大,务必完全恢复数据。

此虚拟机是 windows 2003 的系统,虚拟磁盘500G,并做了三级快照,快照大小分别是190G、180G、60G ,最后一个快照已完全失效,无法进行连接。

由于此数据非常重要,而且数据有涉密性,只能叫人上门恢复数据,虽询问过多家恢复公司,也出到很高的价格,但无人敢上门恢复。

后,经其它的系统运维人员介绍,客户联系到北京北亚数据恢复中心后,便马上飞往无锡,开始着手恢复。

由于仅是快照文件的问题,在去往无锡的途中便开始编写恢复程序,后在客户现场制定了恢复方案和程序的调试和测试,

经过一天一夜的工作,数据完美恢复。

 

【数据恢复结论】

用时1天,数据完美恢复成功。

 

【负责工程师】

北亚数据恢复中心 尹修建

联系方式:010-82488636-804

邮箱:yxj@datahf.net

QQ : 408202843