本次数据恢复涉及一台R710系列服务器和一台MD3200系列存储,上层是ESXI5.5版本的虚拟机和虚拟文件。因客户机房非正常断电,虚拟机无法启动。机房管理员检查发现虚拟机配置文件丢失,但xxx-flat.vmdk磁盘文件和xxx-000001-delta.vmdk快照文件还在。管理员尝试恢复时,删除了原虚拟机内的xxx-flat.vmdk,新建了一个虚拟机,分配了200GB精简模式和160GB快照数据盘,然而原虚拟机数据未恢复。
虚拟机目录项:
虚拟机数据恢复过程:
1、北亚企安数据恢复工程师先卸载挂载在VMwarevSphereClient上的卷并备份,以便进行数据检测和恢复。
2、检测分析备份数据发现,非正常断电破坏了虚拟机目录项,管理员删除文件清除了文件数据区索引,重建虚拟机使分配的磁盘数据底层清零。前两者可人工修复,但新建虚拟机若占用原虚拟机释放空间,部分数据可能无法恢复,需进一步检测。
3、北亚企安数据恢复工程师分析底层数据,在自由空间排查被删虚拟机磁盘区域,扫描出大量碎片并重组,但仍缺失部分碎片文件,只能留空。
文件系统解释结果:
4、用虚拟磁盘快照程序合并重组后的父盘和快照盘,生成新虚拟磁盘。用专业工具解释虚拟磁盘文件系统时报错,提示部分文件损坏。
5、北亚企安数据恢复工程师解析文件系统后未找到原始数据库文件,宏桥备份和索菲备份目录结构正常,但导入备份到数据库时程序报错。
虚拟机数据恢复案例之目录结构:
导入.BAK文件报错信息:
6、北亚企安数据恢复工程师根据SQLServer数据库结构,在自由空间找数据库开始位置,借助工具扫描数据库页碎片,重组mdf文件。除cl_system3.dbf和erp42_jck.dbf部分碎片未找到外,其余数据库校验成功。
校验完的MDF文件如下:
cl_system3.dbf文件中某个碎片丢失的区域:
7、检查备份文件,丢失的两个文件仍不存在,只有部分增量备份文件。因erp42_jck.dbf只缺失少量页,从增量备份中查找补上,但仍缺失部分页,无法正常使用。不过通过北亚企安自主开发的数据库解析程序,成功导出该文件中重要的几十张表并导入新建数据库。
虚拟机恢复数据验证:
在北亚企安数据恢复安全设备中搭建原始环境,将恢复的数据导入,用户方验证数据库完整性,所有数据完整无缺失,数据库挂载成功,上层应用运行正常,本次虚拟机数据恢复成功。
