服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

某品牌PowerEdge系列服務(wù)器，磁盤陣列存儲型號為該品牌MD3200系列存儲，分配lun；

linux centos 7操作系統(tǒng)，EXT4文件系統(tǒng)。

服務(wù)器故障：

服務(wù)器在工作中由于未知原因突然關(guān)機且無法啟動，管理員經(jīng)過修復(fù)后可以啟動服務(wù)器，但服務(wù)器的某個分區(qū)無法掛載。管理員對無法掛載的分區(qū)執(zhí)行了fsck修復(fù)，修復(fù)完成后該分區(qū)可以成功掛載，但是查看該分區(qū)數(shù)據(jù)后發(fā)現(xiàn)部分文件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過程：

1、數(shù)據(jù)恢復(fù)工程師到達現(xiàn)場后將故障服務(wù)器以只讀模式映射到北亞企安數(shù)據(jù)恢復(fù)服務(wù)器上，將所有硬盤數(shù)據(jù)以只讀方式鏡像到數(shù)據(jù)恢復(fù)服務(wù)器上，后續(xù)數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進行，避免對原始數(shù)據(jù)造成二次破壞。

2、通過對鏡像文件的分析，數(shù)據(jù)恢復(fù)工程師初步診斷導(dǎo)致該服務(wù)器故障的原因是機房供電不穩(wěn)引起的服務(wù)器非正常關(guān)機。

3、仔細分析故障服務(wù)器的底層數(shù)據(jù)，發(fā)現(xiàn)服務(wù)器的異常斷電導(dǎo)致目錄項被破壞，所幸的是底層數(shù)據(jù)依然存在，只需要數(shù)據(jù)恢復(fù)工程師手工修復(fù)即可恢復(fù)數(shù)據(jù)。

4、由于管理員對文件系統(tǒng)執(zhí)行了fsck修復(fù)，被破壞的目錄項在修復(fù)失敗后以目錄節(jié)點號命名，并存放于lost+found目錄內(nèi)，隨后又清除了這些目錄項所對應(yīng)的數(shù)據(jù)區(qū)索引。這就是分區(qū)掛載成功后部分文件丟失的原因。這樣的情況想要恢復(fù)數(shù)據(jù)，可以根據(jù)被刪除的虛擬磁盤文件的文件系統(tǒng)和文件類型在vmfs卷自由空間中進行排查，匹配碎片并重新合并，最終通過這種方式將刪除的虛擬磁盤文件恢復(fù)。

5、由于故障服務(wù)器采用的是EXT4文件系統(tǒng)，EXT4文件系統(tǒng)有一個特點就是文件丟失后其節(jié)點信息也會被清除，所以在本案例不能采用基于節(jié)點信息進行還原的方法來恢復(fù)數(shù)據(jù)，而是根據(jù)丟失的文件目錄項節(jié)點號匹配lost+found目錄下的文件名稱這種方式來恢復(fù)數(shù)據(jù)。因為lost+found目錄下的文件命名規(guī)則就是該文件的目錄項節(jié)點號。可以先提取目錄項節(jié)點號并與lost+found目錄下的文件名進行一一對應(yīng)，最終還原出服務(wù)器的原始目錄結(jié)構(gòu)。

6、基于鏡像文件分析底層，在底層空間掃描目錄項的區(qū)域，將目錄項的節(jié)點號、數(shù)量等信息進行統(tǒng)計和記錄，根據(jù)服務(wù)器磁盤中的文件系統(tǒng)信息將統(tǒng)計到的目錄項和節(jié)點號進行整合匹配，然后匹配lost+found目錄下的文件記錄號，最終將服務(wù)器分區(qū)丟失的數(shù)據(jù)恢復(fù)出來。

7、經(jīng)過管理員對恢復(fù)出來的數(shù)據(jù)進行反復(fù)驗證后，確認恢復(fù)出來的數(shù)據(jù)完整有效，本次數(shù)據(jù)恢復(fù)工作完成。