hyper-v虛擬化未知原因故障導(dǎo)致數(shù)據(jù)丟失解決過程

簡介：

由于MD3200存儲中虛擬機(jī)的數(shù)據(jù)文件丟失，導(dǎo)致整個Hyper-V服務(wù)癱瘓，虛擬機(jī)無法使用，故障環(huán)境為Windows Server 2012服務(wù)器，系統(tǒng)中部署了Hyper-V虛擬機(jī)環(huán)境，虛擬機(jī)的硬盤文件和配置文件放在朝陽區(qū)某托管中心托管的DELL MD3200存儲中（注：硬盤600G4，4T1）。MD3200存儲是由4塊600G硬盤組成的陣列，用作存儲虛擬機(jī)的數(shù)據(jù)文件。單塊4T硬盤用作虛擬機(jī)數(shù)據(jù)文件的備份。

故障：

由于MD3200存儲中虛擬機(jī)的數(shù)據(jù)文件丟失，導(dǎo)致整個Hyper-V服務(wù)癱瘓，虛擬機(jī)無法使用。以如下流程進(jìn)行數(shù)據(jù)檢測：

1. 對MD3200存儲服務(wù)器進(jìn)行物理檢測，發(fā)現(xiàn)存儲并未出現(xiàn)物理故障，涉事硬盤均正常工作
2. 檢查操作系統(tǒng)：工作正常中，未發(fā)現(xiàn)出錯進(jìn)程，排除因操作系統(tǒng)BUG導(dǎo)致的數(shù)據(jù)丟失。
3. 分析丟失數(shù)據(jù)硬盤的文件系統(tǒng)：打開正常，不符合病毒破壞的表現(xiàn)特征，同時經(jīng)殺毒軟件檢測無病毒。再仔細(xì)分析硬盤的文件系統(tǒng)，發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間為11月28日，表明文件系統(tǒng)的創(chuàng)建時間為11月28日，與數(shù)據(jù)丟失的時間相吻合。通常這種故障表明：文件系統(tǒng)被人為重寫了，即分區(qū)被格式化了。
4. 檢查系統(tǒng)日志：發(fā)現(xiàn)系統(tǒng)日志11月28號之前以及當(dāng)天的系統(tǒng)日志已被清空，審核日志和服務(wù)日志卻并未清空。通常情況下，此操作應(yīng)該由人為導(dǎo)致。而格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這與上述人為破壞的表現(xiàn)相符。
5. 嘗試恢復(fù)系統(tǒng)日志：仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。
6. 分析操作系統(tǒng)中的所有分區(qū)：發(fā)現(xiàn)只有MD3200存儲中的兩個分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)了。通常情況下，對兩個分區(qū)的格式化需要有兩個獨立的過程，因此這種針對性的操作應(yīng)該由人為導(dǎo)致。

解決方案

備份用戶數(shù)據(jù)
由于數(shù)據(jù)全部都放Dell M3200存儲中，因此只需要恢復(fù)Dell M3200存儲中的數(shù)據(jù)即可。將Dell M3200存儲中所有的硬盤標(biāo)上編號，然后后從存儲中拔下來交給硬件部門檢測硬盤是否存在物理故障。經(jīng)檢測沒問題后對每塊硬盤做全盤鏡像，使用專用工具（Winhex）將硬盤中所有扇區(qū)鏡像到一塊備份硬盤中。
如下圖：使用專業(yè)工具備份所有硬盤數(shù)據(jù)

重組磁盤陣列
鏡像完所RAID 5的相關(guān)信息，如：條帶大小，條帶走向等信息。根據(jù)這些信息即可重組有硬盤后，分析每塊硬盤上的數(shù)據(jù)。分析后發(fā)現(xiàn)4塊600G硬盤做了一個RAID5，另一塊4T硬盤是做為數(shù)據(jù)備份使用。仔細(xì)分析4塊600G硬盤中的數(shù)據(jù)結(jié)構(gòu)，可以得出這個此RAID。
如下圖：使用專業(yè)工具重組RAID

如下圖：是用專業(yè)工具打開硬盤陣列的情況

掃描舊的文件索引項
仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中還殘留著許多以前文件系統(tǒng)的目錄項及文件索引。經(jīng)過仔細(xì)核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。但由于整個硬盤太大，人工去搜索文件索引會很慢，因此編寫一個提取文件索引項的小程序，對整個硬盤中所有存在的文件索引項做掃描，提取所有文件的文件索引項。

分析掃描到文件索引項
對掃描到的所有文件索引項做詳細(xì)的分析，發(fā)現(xiàn)其索引項都是不連續(xù)的，并且大多都是以16K或8K對齊的。正常情況下的文件索引項是連續(xù)的，大小為固定的1K，每個文件索引項對應(yīng)一個文件或目錄。而掃描出來的這些不連續(xù)，并且不完整的文件索引項是無法正常索引到文件的內(nèi)容。因此需要對掃描出來的文件索引項做加工處理。在掃描出來的文件索引項中搜索” .VHD”，能找到一個” .VHD”的文件記錄。然后將這個片連續(xù)的文件索引項提取出來。接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性。如果有則根據(jù)文件索引項中的特征去匹配下一段文件索引項，如果沒有則跳過這段文件索引項。根據(jù)以上方法基本能查到大多數(shù)的文件索引項片段。而缺失的文件索引項片段有可能被破壞了，但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項片段，因此基本可以搜索到大部分的文件索引項。
如下圖：是文件索引項截圖

將文件索引項組成完整的目錄結(jié)構(gòu)
根據(jù)上述方法找到所有的文件索引項，然后根據(jù)文件索引項的編號將其拼接成整個目錄項結(jié)構(gòu)。以下是搜索到的部分文件索引項，由于有部分文件索引項被破壞，因此只能找到大部分文件索引項，但這些文件索引項已經(jīng)足以拼接成整個目錄結(jié)構(gòu)了。
如下圖：是掃描到的文件索引項碎片

修復(fù)文件系統(tǒng)
將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進(jìn)行替換，然后使用專業(yè)工具修改部分校驗值。再使用專業(yè)的工具解釋這個目錄結(jié)構(gòu)即可看到原有丟失的數(shù)據(jù)了。
如下圖：是用專業(yè)工具解釋出來的目錄結(jié)構(gòu)

為了確定數(shù)據(jù)是否正確，將其中一個最新的VHD文件恢復(fù)出來。然后將其拷貝到一臺支持附加VHD的服務(wù)器上，嘗試附加此VHD。結(jié)果附加成功，檢查VHD中最新的數(shù)據(jù)是否完整。一切檢查完整后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。

如下圖：是恢復(fù)出來的所有虛擬機(jī)數(shù)據(jù)文件

驗證所有數(shù)據(jù)
在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境，將恢復(fù)的虛擬機(jī)文件連接到這臺服務(wù)器上。然后通過導(dǎo)入虛擬機(jī)的方式，將恢復(fù)的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境。然后讓客戶來驗證所有虛擬機(jī)是否完整。
如下圖：是虛擬機(jī)導(dǎo)入的過程

遷移所有數(shù)據(jù)
在客戶驗證所有虛擬機(jī)沒問題后，將所有數(shù)據(jù)拷貝至客戶服務(wù)器中。然后利用導(dǎo)入的方式將虛擬機(jī)導(dǎo)入到客戶的Hyper-V環(huán)境中，需要以下面的方式導(dǎo)入虛擬機(jī)，導(dǎo)入后沒有報錯，嘗試啟動所有虛擬機(jī)，所有虛擬機(jī)啟動都沒問題