服务器数据恢复环境:

一台服务器,虚拟化系统为esxi,上层使用iSCSI的方式实现FC SAN功能,iSCSI通过FreeNAS构建。

​​ESXi虚拟化数据恢复_服务器

服务器故障检测分析:

机房供电不稳,服务器非正常关机,重启服务器后发现ESXI虚拟化系统无法连接存储。检查文件系统及数据,发现原服务器上的文件系统和数据都无法识别,又将vmfs进行了格式化操作,导致数据丢失。

​​ESXi虚拟化数据恢复_数据_02

服务器数据恢复过程:

1、将服务器所有硬盘编号后取出,经检测,没有发现有硬盘存在物理故障。将所有磁盘以只读方式进行扇区级全盘镜像,镜像完成后按照编号将所有磁盘还原到原服务器中。

2、将故障硬盘进行镜像,镜像文件分析底层数据。

3、查看iNode数据发现iscsidata文件被重建过,iNode指针指向的数据量非常少。这种情况下要进入vmfs文件系统层去恢复数据就需要先分析出FreeNAS层的必要信息和数据。

4、通过分析,UFS2文件系统块大小为16kb,segment大小为2kb,柱面组大小为188176kb,数据指针大小为8字节,每个块可容纳数据指针数量为2048个。

5、尝试通过iscsidata文件的三级指针块来恢复FreeNAS层的数据。

6、根据服务器的实际数据情况编写收集有用的指针块,通过小程序收集到了大量二级指针块和三级指针块。

​​ESXi虚拟化数据恢复_文件系统_03

7、分析三级指针块后发现这些指针块都是无效的,应该是重建iscsidata文件时被覆盖了。

8、分析二级指针块,对有大量二级指针块的指向数据进行DUMP,然后再从磁盘中的数据定位到二级指针。通过这种方式获取到大量DUMP的数据。

9、根据NTFS和UFS2文件系统结构定位到vmfs层,继而定位到DUMP出的单个64GB文件&组合数据。

10、经过复杂的查询和重组操作,最终恢复出3台虚拟机及虚拟机内的全部数据。

11、将恢复出来的数据上传到准备好的环境中进行验证,经过验证,确认所有恢复数据完整有效。