[用户单位] XXX影音制作公司
[数据恢复故障描述] 一台infortrend ESDS-S12F-G1440存储,内接12块2TB硬盘组成RAID6,整个RAID6的所有空间划分给一个LUN,映射到WINDOWS系统上。在WINDOWS系统上,划分了一个GPT分区,大小为18.2TB,原已用空间约16.5TB。 在使用一段时间后发现存储无法访问,管理人员查看存储发现3块硬盘离线,之后通过一些非常规手段促使存储上线,并开始rebuild。但通过主机访问时发现,分区打不开,所有数据均无法访问。咨询专业机构后得知此状况表明数据已存在破坏,为避免状态的进一步恶化,中止rebuild,关机后寻求专业数据恢复机构帮助。 经当地数据恢复公司全力恢复后,最终的结果是有大量数据丢失,大量数据无法打开。
[数据恢复分析] RAID6是支持两块硬盘同时掉线的一种存储冗余模式,但当两块以上的磁盘下线后,RAID6便无法正常工作了。通常情况下,RAID6离线的3块盘是间隔一段时间内先后出现故障的,所以,在这种情况下,如果将早掉线的盘(陈旧的数据)上线,便会与在线的盘(新鲜的数据)进行RAID6算法同步,导致数据不伦不类,无法正常读取数据。 本例中应为上述分析,但因rebuild时间较短(约几分钟),在几分钟内,大约可以同步几十GB数据,本例用户数据文件数据非常多,同时做为素材库,文件系统最前部存储老数据的可能性最大,另因文件数量多,所以一些较新的文件的目录及节点索引应该都位于磁盘后部,所以同步操作可能对存储的影响不大,推断破坏有限。
[数据恢复方案] 1、为避免故障扩大,首先对故障硬盘做完全扇区级克隆。如部分硬盘有物理故障,交由硬件恢复组解决硬件故障。 2、分析存储使用的的RAID6算法,再按此算法对12块硬盘做C(12,2)共66种可能的缺2盘的情况组合。人工或通过程序判定最正确的缺盘可能。 3、通过北亚RAID数据恢复软件或第三方数据恢复软件搭建虚拟RAID平台,按分析出的缺盘状态、盘序、块大小、校验方向、RAID6算法构建进行附加。 4、对虚拟RAID,进行GPT分区结构解释,然后进行文件系统解释,确定算法是否正确。如不正确,调整算法,直到最佳结构。 5、按文件或扇区方式迁移数据到另一存储,完成恢复工作。
[数据恢复时间预计] 镜像时间:8小时内(12个并行流程同时镜像,以每个流程60M/S的速度计) 分析及验证算法:2-4小时 迁移数据:15天(文件方式迁移) 或3天(扇区方式迁移,必须目标存储大于等于源故障存储,同时文件系统无严重破坏)
[应急建议] 故障发生后,应在关机状态下插拔硬盘,同时对硬盘原位置进行标注。在硬盘离开存储后,不要再对存储加电。确保所有操作尽可能可回溯。