hyper-v虛擬化未知原因故障導致數(shù)據(jù)丟失解決過程-創(chuàng)新互聯(lián)

簡介：

由于MD3200存儲中虛擬機的數(shù)據(jù)文件丟失，導致整個Hyper-V服務癱瘓，虛擬機無法使用，故障環(huán)境為Windows Server 2012服務器，系統(tǒng)中部署了Hyper-V虛擬機環(huán)境，虛擬機的硬盤文件和配置文件放在朝陽區(qū)某托管中心托管的DELL MD3200存儲中（注：硬盤600G4，4T1）。MD3200存儲是由4塊600G硬盤組成的陣列，用作存儲虛擬機的數(shù)據(jù)文件。單塊4T硬盤用作虛擬機數(shù)據(jù)文件的備份。

成都創(chuàng)新互聯(lián)從2013年成立，先為洛川等服務建站，洛川等地企業(yè)，進行企業(yè)商務咨詢服務。為洛川企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

故障：

由于MD3200存儲中虛擬機的數(shù)據(jù)文件丟失，導致整個Hyper-V服務癱瘓，虛擬機無法使用。以如下流程進行數(shù)據(jù)檢測：

1. 對MD3200存儲服務器進行物理檢測，發(fā)現(xiàn)存儲并未出現(xiàn)物理故障，涉事硬盤均正常工作
2. 檢查操作系統(tǒng)：工作正常中，未發(fā)現(xiàn)出錯進程，排除因操作系統(tǒng)BUG導致的數(shù)據(jù)丟失。
3. 分析丟失數(shù)據(jù)硬盤的文件系統(tǒng)：打開正常，不符合病毒破壞的表現(xiàn)特征，同時經(jīng)殺毒軟件檢測無病毒。再仔細分析硬盤的文件系統(tǒng)，發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間為11月28日，表明文件系統(tǒng)的創(chuàng)建時間為11月28日，與數(shù)據(jù)丟失的時間相吻合。通常這種故障表明：文件系統(tǒng)被人為重寫了，即分區(qū)被格式化了。
4. 檢查系統(tǒng)日志：發(fā)現(xiàn)系統(tǒng)日志11月28號之前以及當天的系統(tǒng)日志已被清空，審核日志和服務日志卻并未清空。通常情況下，此操作應該由人為導致。而格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這與上述人為破壞的表現(xiàn)相符。
5. 嘗試恢復系統(tǒng)日志：仔細分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復。
6. 分析操作系統(tǒng)中的所有分區(qū)：發(fā)現(xiàn)只有MD3200存儲中的兩個分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)了。通常情況下，對兩個分區(qū)的格式化需要有兩個獨立的過程，因此這種針對性的操作應該由人為導致。

解決方案

備份用戶數(shù)據(jù)
由于數(shù)據(jù)全部都放Dell M3200存儲中，因此只需要恢復Dell M3200存儲中的數(shù)據(jù)即可。將Dell M3200存儲中所有的硬盤標上編號，然后后從存儲中拔下來交給硬件部門檢測硬盤是否存在物理故障。經(jīng)檢測沒問題后對每塊硬盤做全盤鏡像，使用專用工具（Winhex）將硬盤中所有扇區(qū)鏡像到一塊備份硬盤中。
如下圖：使用專業(yè)工具備份所有硬盤數(shù)據(jù)

重組磁盤陣列
鏡像完所RAID 5的相關信息，如：條帶大小，條帶走向等信息。根據(jù)這些信息即可重組有硬盤后，分析每塊硬盤上的數(shù)據(jù)。分析后發(fā)現(xiàn)4塊600G硬盤做了一個RAID5，另一塊4T硬盤是做為數(shù)據(jù)備份使用。仔細分析4塊600G硬盤中的數(shù)據(jù)結(jié)構(gòu)，可以得出這個此RAID。
如下圖：使用專業(yè)工具重組RAID

如下圖：是用專業(yè)工具打開硬盤陣列的情況

掃描舊的文件索引項
仔細分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中還殘留著許多以前文件系統(tǒng)的目錄項及文件索引。經(jīng)過仔細核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。但由于整個硬盤太大，人工去搜索文件索引會很慢，因此編寫一個提取文件索引項的小程序，對整個硬盤中所有存在的文件索引項做掃描，提取所有文件的文件索引項。

分析掃描到文件索引項
對掃描到的所有文件索引項做詳細的分析，發(fā)現(xiàn)其索引項都是不連續(xù)的，并且大多都是以16K或8K對齊的。正常情況下的文件索引項是連續(xù)的，大小為固定的1K，每個文件索引項對應一個文件或目錄。而掃描出來的這些不連續(xù)，并且不完整的文件索引項是無法正常索引到文件的內(nèi)容。因此需要對掃描出來的文件索引項做加工處理。在掃描出來的文件索引項中搜索” .VHD”，能找到一個” .VHD”的文件記錄。然后將這個片連續(xù)的文件索引項提取出來。接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性。如果有則根據(jù)文件索引項中的特征去匹配下一段文件索引項，如果沒有則跳過這段文件索引項。根據(jù)以上方法基本能查到大多數(shù)的文件索引項片段。而缺失的文件索引項片段有可能被破壞了，但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項片段，因此基本可以搜索到大部分的文件索引項。
如下圖：是文件索引項截圖

將文件索引項組成完整的目錄結(jié)構(gòu)
根據(jù)上述方法找到所有的文件索引項，然后根據(jù)文件索引項的編號將其拼接成整個目錄項結(jié)構(gòu)。以下是搜索到的部分文件索引項，由于有部分文件索引項被破壞，因此只能找到大部分文件索引項，但這些文件索引項已經(jīng)足以拼接成整個目錄結(jié)構(gòu)了。
如下圖：是掃描到的文件索引項碎片

修復文件系統(tǒng)
將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進行替換，然后使用專業(yè)工具修改部分校驗值。再使用專業(yè)的工具解釋這個目錄結(jié)構(gòu)即可看到原有丟失的數(shù)據(jù)了。
如下圖：是用專業(yè)工具解釋出來的目錄結(jié)構(gòu)

為了確定數(shù)據(jù)是否正確，將其中一個最新的VHD文件恢復出來。然后將其拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD。結(jié)果附加成功，檢查VHD中最新的數(shù)據(jù)是否完整。一切檢查完整后將所有數(shù)據(jù)恢復到一塊硬盤中。

如下圖：是恢復出來的所有虛擬機數(shù)據(jù)文件

驗證所有數(shù)據(jù)
在一臺測試服務器上搭建Hyper-V的環(huán)境，將恢復的虛擬機文件連接到這臺服務器上。然后通過導入虛擬機的方式，將恢復的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境。然后讓客戶來驗證所有虛擬機是否完整。
如下圖：是虛擬機導入的過程

遷移所有數(shù)據(jù)
在客戶驗證所有虛擬機沒問題后，將所有數(shù)據(jù)拷貝至客戶服務器中。然后利用導入的方式將虛擬機導入到客戶的Hyper-V環(huán)境中，需要以下面的方式導入虛擬機，導入后沒有報錯，嘗試啟動所有虛擬機，所有虛擬機啟動都沒問題

分享標題：hyper-v虛擬化未知原因故障導致數(shù)據(jù)丟失解決過程-創(chuàng)新互聯(lián)
當前URL：http://muchs.cn/article12/hicdc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、品牌網(wǎng)站建設、定制開發(fā)、微信公眾號、服務器托管、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)