вторник, 1 ноября 2011 г.

Data recovery after VMFS lose

 

Имел за последние две недели пару интересных бесед, на животрепещущую тему “да, админ не профессионал, бекапы не делал, но как бы теперь достать данные с порушенного VMFS?”.

 

В общем-то, оба раза это были не столько вопросы, сколько со мной делились опытом.

 

Случай один, представитель компании, занимающейся восстановлением данных.

 

К сожалению, законченной инструкции не получается, но полезным оказаться может.

Итак, ко мне в скайп постучались с вопросом восстановления данных с убитого раздела VMFS.

Я начал с риторического вопроса про бекап – я, в общем-то понимаю, что в таком контексте это звучит как издевка, но спросить то надо.

Продолжил я ссылкой на свою подборку средств доступа к проблемному vmfs-хранилищу и починке после случайного удаления\форматирования.

Не помогло.

Тогда я расписался в бессилии помочь.

Однако, спустя время, со мной снова связались, уже не с целью узнать, а с целью научить:

kirill: решил вопрос, данные поднял.
на уровне шестнадцатиричного кода все решал

kirill: нашел раздел NTFS
хорошо, хоть NTFS был

kirill: и склеивал по таблице его
95% целых данных получилось!

mikhail.mikheev: круто. чем пользовались?

kirill: winhex )
я искал только файловую систему самой вир.машины
это 16-ричный редактор, незаменимая вещь в data reсovery
довольно много функций

mikhail.mikheev: а как выглядит начало ntfs вы откуда знали?
kirill: любой диск с NTFS можно открыть и посмотреть
mikhail.mikheev: логично
kirill: обычно он на таких дисказ в 63 секторе
mikhail.mikheev: просто вдруг там какая автоматизация есть такого поиска
kirill: автоматом можно пробовать искать, но результат будет не очень

kirill: я вообще занимаюсь восстановлением данных с любых цифровых носителей

kirill: так что если что - обращайтесь
mikhail.mikheev: спасибо, буду иметь в виду

kirill: icanrc.ru
kirill: немного саморекламы)))

mikhail.mikheev: вот вам winhex помог найти начало vmdk файла, по сути, так ведь?
kirill: помог
но он был битый
mikhail.mikheev: и вы небось слили образ как-то отдельно
mikhail.mikheev: и потом обычным образом чинили?
kirill: именно
mikhail.mikheev: а как слили образ?
kirill: в файл
mikhail.mikheev: winhex это умеет в смысле?
kirill: да
mikhail.mikheev: а конец партиции тоже по каким то признакам можно найти?
kirill: данном случае я его не нашел
вообще можно, но конец раздела сложнее найти, чем скажем окончании записи MFT

mikhail.mikheev: а что такое mft?
kirill: таблица размещения файлов
mikhail.mikheev: в смысле тоже структура ntfs?
kirill: да, часть его
mikhail.mikheev: и что с ней можно сделать потом?
kirill: составить карту занятых секторов
склеить
сделать клон и слить данные
mikhail.mikheev: а чем это делается?
kirill: winhex)))
mikhail.mikheev: ))

а где нибудь почитать про такие манипуляции можно?
или это сакральные тайны?
kirill: вообще 90 - опыт
10% документация по NTFS
можно поискать
как она устроена
но никто не пишет как склеить, ка скопировать, определить и т д

http://icanrc.ru/

 

Вторым было письмо – простое письмо о той же проблеме – восстановления данных с порушенного VMFS.

Тут идея была еще проще – взяли R-Studeio, натравили на диск, достали большую часть данных.

 

После этого письма я не утерпел и попробовал:

  • создал iSCSI LUN
  • отформатировал в VMFS
  • создал на нем ВМ с Windows, создал на ее диске файл wordpad
  • удалил сначала ВМ – delete from disk
  • затем удалил весь VMFS

 

После этого я подмонтировал этот же iSCSI LUN к своему ноутбуку, и натравил на диск R-Studio.

Час с небольшим анализировался 15-гигабайтный LUN, после чего программа смогла восстановить тот мой текстовый файл.

 

VMFS используется как файловая система для адресации и управления блокировками. Данные гостевых файловых систем лежат как таковые – утилиты восстановления данных способны их обнаружить не зная что такое VMFS.

8 комментариев:

  1. Интересно, что скажет утилита, если на VMFS-LUN`e будет лежать с десяток VM`ок? :) Будет грести всё подряд?

    Так же было бы занятно проверить случай, когда грохаются vmdk-файлы, а VMFS остаётся. Я вот как-то с устатку сходу не могу прикинуть, как в этом случае натравить утиль на поиск NTFS в удалённых vmdk.
    Ну и обратная схема - грохнуть VMFS, не трогая перед этим vmdk (тут понятное дело, по Вашей методе можно маппнуть LUN и допрашивать его как неформатированный раздел)

    В общем, Михаил, неплохой кирпич Вы подкинули в наше тихое болото... :D

    С уважением,
    Umlyaut..

    ОтветитьУдалить
  2. 1) если десяток ВМ с толстыми дисками - то теоретически можно будет, пусть с несколькими итерациями, обнаружить начало каждого и утилиту натравливать не на весь LUN, а только на часть - с одним vmdk в ней

    а вот ВМ с тонкими дисками, возможно, будут фрагментированы. С таким фаршем, я думаю, не справится уже ничем.

    2) если грохнуть vmdk не трогая VMFS - будет то же, что и в моем эксперименте - я пробовал, но до конца не довел

    3) если грохнуть VMFS,то,я думаю, ситуация опять же будет такой же.

    ОтветитьУдалить
  3. Andrey Kurochkin (admino)среда, 02 ноября, 2011

    Миша, опробовал недавно вот такой метод (в этот раз - по клиентскому принуждению)

    1. был LUN, на нем была vmfs3, на ней было 3-5 vm
    2. Датастор удалили ("случайно, конечно", "сбой был")
    2.1. в панике на этом же LUN создали датастор ("с тем же именем" :D )
    2.x. ....

    3. я этот LUN подмонтировал к vm в виде RAW lun
    3.1. натравил на него R-Studio
    3.2. после 3-4 часов глубокого анализа получилось восстановить базы Exchange, и даже базы SQL. в виде файлов, конечно.
    3.3. диски машин были ТОЛСТЫЕ
    3.4. почему так быстро? хороший сторадж и много ресурсов для временного сервера восстановления.

    Андрей.

    ОтветитьУдалить
  4. Михаил, наверное все бы хотели в следующей книге увидеть авторитетное how-to по данному вопросу))

    ОтветитьУдалить
  5. а я то как хотел бы!

    а какой именно информации не хватает?

    ОтветитьУдалить
  6. Имел в виду step-by-step инструкции на случаи: восстановление с удаленного datastore, с удаленного vmdk с thick\thin-дисками.
    Вариантов, конечно, много, и бэкапы никто не отменял...из академического интереса, как наиболее правильно

    ОтветитьУдалить
  7. Получается, что толстые диски лежат одним куском в сыром виде. Тогда тонкие диски - это наверняка побитые на части сырые данные дисков виртуальной машины. Интересно, сможет ли R-Studio например связать их воедино? Ну и наверняка частично даже из обрывков R-Studio данные сможет вытащить, как это бывает при затирании данных на обыкновенном диске (затирание - как отсутствие целого куска)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.