1、故障环境
故障环境为Windows Server 2012服务器,系统中部署了Hyper-V虚拟机环境,虚拟机的硬盘文件和配置文件放在DELL MD3200存储中(注:硬盘600G*4,4T*1)。MD3200存储是由4块600G硬盘组成的阵列,用作存储虚拟机的数据文件。单块4T硬盘用作虚拟机数据文件的备份。
2、故障分析
由于MD3200存储中虚拟机的数据文件丢失,导致整个Hyper-V服务瘫痪,虚拟机无法使用。因此要以如下流程进行数据检测:
1、对MD3200存储服务器进行物理检测,发现存储并未出现物理故障,涉事硬盘均正常工作。
2、检查操作系统:工作正常中,未发现出错进程,排除因操作系统BUG导致的数据丢失。
3、分析丢失数据硬盘的文件系统:打开正常,不符合病毒破坏的表现特征,同时经杀毒软件检测无病毒。再仔细分析硬盘的文件系统,发现此文件系统的源文件创建时间为11月28日,表明文件系统的创建时间为11月28日,与数据丢失的时间相吻合。通常这种故障表明:文件系统被人为重写了,即分区被格式化了。
4、检查系统日志:发现系统日志11月28号之前以及当天的系统日志已被清空,审核日志和服务日志却并未清空。通常情况下,此操作应该由人为导致。而格式化分区的操作只记录在系统日志中,这与上述人为破坏的表现相符。
5、尝试恢复系统日志:仔细分析硬盘底层数据,发现硬盘底层中需要恢复的系统日志已被新的日志记录覆盖,无法恢复。
6、分析操作系统中的所有分区:发现只有MD3200存储中的两个分区的文件系统被重新写入文件系统了。通常情况下,对两个分区的格式化需要有两个独立的过程,因此这种针对性的操作应该由人为导致。
3、导致故障的常见途径
1、通过在分区上“右键”,选择“格式化”按钮,可以格式化选中的分区。
2、在开始菜单“运行”中输入“cmd”命令进入到命令行模式,然后使用FORMAT命令,可以格式化指定分区。
3、创建一个bat文件,在文件中写入格式化的命令,然后运行bat文件可以格式化指定分区。
4、因为有两个独立的文件系统数据丢失,故上述的流程可能被执行了多次。应该因人为操作导致。
二、解决方案概述
根据前期的故障分析结果,总结出以下解决方案:
1、备份用户数据,对丢失数据的硬盘,做全盘备份,以确保数据的安全性。
2、分析每个硬盘的数据,根据分析的结构重组RAID 阵列。
3、分析重组完的阵列,看能否找到原有的文件索引项及对应的数据区。
4、核对查到的文件索引项是否符合用户数据,并核对相应的数据区有无破坏。
5、根据扫描到的文件索引项碎片,将其拼接成一个完整的目录结构。
6、根据拼接好的目录项去底层恢复对应的数据,并检查数据是否正确。
7、核对数据没问题后恢复所有数据。
三、实施解决方案
1、备份用户数据
由于
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
