服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

一臺(tái)使用NTFS文件系統(tǒng)的服務(wù)器；

7塊硬盤(pán)組成了一組raid5磁盤(pán)陣列。

raid5磁盤(pán)陣列磁盤(pán)故障離線(xiàn)導(dǎo)致服務(wù)器癱瘓。用戶(hù)在處理掉線(xiàn)磁盤(pán)時(shí)只添加新的硬盤(pán)rebuild，并沒(méi)有將掉線(xiàn)的3塊硬盤(pán)從陣列中拔掉。

硬件工程師對(duì)故障服務(wù)器中所有硬盤(pán)進(jìn)行了物理檢測(cè)，沒(méi)有發(fā)現(xiàn)硬盤(pán)物理故障，只好交由服務(wù)器數(shù)據(jù)恢復(fù)工程師對(duì)所有硬盤(pán)做全盤(pán)鏡像&分析。

服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程：

1、對(duì)所有硬盤(pán)鏡像備份后，服務(wù)器數(shù)據(jù)恢復(fù)工程師分析服務(wù)器raid結(jié)構(gòu)。故障服務(wù)器中的硬盤(pán)每512字節(jié)多加了一個(gè)8字節(jié)的校驗(yàn)，也就是說(shuō)每扇區(qū)520字節(jié)。北亞數(shù)據(jù)恢復(fù)工程師編寫(xiě)了一個(gè)小程序?qū)?字節(jié)的校驗(yàn)去掉，方便后續(xù)的數(shù)據(jù)恢復(fù)。

2、完成磁盤(pán)轉(zhuǎn)換后開(kāi)始分析RAID的結(jié)構(gòu)。由于多了3塊離線(xiàn)盤(pán)（故障離線(xiàn)后沒(méi)有拔出），需要比較每塊磁盤(pán)。因?yàn)槠渲袝?huì)有兩塊磁盤(pán)前面的一部分相同，這兩塊前面部分相同的磁盤(pán)中有一個(gè)是舊盤(pán)，舊盤(pán)數(shù)據(jù)量沒(méi)有新盤(pán)多，可以排除舊盤(pán)。

3、由于故障服務(wù)器使用的是NTFS文件系統(tǒng)，使用MFT就可以找到RAID結(jié)構(gòu)。搞清楚RAID結(jié)構(gòu)后發(fā)現(xiàn)這不是一個(gè)普通的RAID5，而是一個(gè)雙循環(huán)，無(wú)法通過(guò)常規(guī)手段重組RAID。

4、通過(guò)其他方法重組RAID后發(fā)現(xiàn)數(shù)據(jù)不是新的。推測(cè)可能是RAID5掉線(xiàn)第一塊硬盤(pán)時(shí)用戶(hù)沒(méi)有及時(shí)發(fā)現(xiàn)，沒(méi)有及時(shí)添加新的硬盤(pán)做rebuild，服務(wù)器運(yùn)行一段時(shí)間后又有一塊硬盤(pán)掉線(xiàn)了，造成整個(gè)RAID不可用。

5、服務(wù)器數(shù)據(jù)恢復(fù)工程師使用窮舉+校驗(yàn)的方法進(jìn)行分析：假設(shè)某個(gè)磁盤(pán)掉線(xiàn)，踢掉該磁盤(pán)后重組RAID，不用生成全部的數(shù)據(jù)，只生成前面幾個(gè)G的數(shù)據(jù)，然后通過(guò)查看這個(gè)索引表的位圖信息是否正確就可以判斷此RAID是否正確。如果索引表的位圖信息正確，生成此RAID數(shù)據(jù)即可完成RAID的重組。

6、數(shù)據(jù)恢復(fù)完成后由用戶(hù)親自核檢，數(shù)據(jù)完整可用，本次數(shù)據(jù)恢復(fù)完成。

1、服務(wù)器發(fā)生故障后，切忌對(duì)服務(wù)器進(jìn)行操作；也不要隨意取出硬盤(pán)，以免弄亂盤(pán)序。

2、如果需要取出硬盤(pán)，標(biāo)記好硬盤(pán)的順序之后再取出。

3、服務(wù)器陣列癱瘓后應(yīng)該立即斷電，不要做同步或強(qiáng)制上線(xiàn)操作，防止數(shù)據(jù)進(jìn)一步破壞。