服务器数据恢复
计算机术语
服务器数据恢复从从广义上说,位于服务器存储介质上的信息都是数据。任何使这些信息发生非主观意愿之外的变化都可视为破坏。那么相应地,服务器数据恢复就是一个把服务器上异常数据还原成正常数据的过程。
故障类型
逻辑层故障
1、误删除、误格式化、误分区、误克隆、文件解密、病毒破坏等
2、RAID阵列信息丢失的
3、RAID卡损坏导致数据丢失
4、RAID升级迁移过程中误操作导致的数据丢失
5、RAID5阵列2块硬盘OFFLINE导致的数据丢失
6、RAID阵列内逻辑驱动器出现坏条带
7、重新配置RAID阵列信息导致数据丢失
8、RAID阵列内磁盘顺序出错
9、RAID阵列系统崩溃服务器无法启动
10、RAID硬盘掉线,阵列内某块或多块硬盘无法识别
11、RAID阵列信息混乱
12、RAID意外断电等原因造成的rebuild失败
RAID物理层故障
服务器物理层故障,主要是指服务器阵列SAS、SCSI硬盘由于硬盘内部磁头或者电机原因引起的故障,主要包括如下几种:
1、硬盘通电敲盘;
2、硬盘通电不转;
3、硬盘通电不识别;
RAID坏道层故障
服务器坏道层故障,主要是指,磁盘阵列中SCSI、SAS硬盘由于一块或者多块有坏道引起操作系统产生如下故障,
1、无法启动;
2、启动操作系统蓝屏;
3、启动操作系统死机;
RAID固件层故障
服务器固件层故障,主要是指,磁盘阵列中SCSI、SAS硬盘由于固件模块损坏或者丢失引起的一块或多块硬盘不识别,数据区不能正常访问。
错误提示
一般类型提示
eth1: Too much work at interrupt, IntrStatus=0x0001
这条提示的含意为. 某网卡的中断请求过多. 如果只是偶尔出现一次可忽略. 但这条提示如果经常出现或是集中出现,那涉及到的可能性就比较多有可能需要进行处理了.。可能性比较多,如网卡性能;服务器性能;网络攻击..等等。
IPVS: incoming ICMP: failed checksum from 61.172.0.X!
服务器收到了一个校验和错误的ICMP数据包。 这类的数据包有可能是非法产生的垃圾数据.但从目前来看服务器收到这样的数据非常多.一般都忽略。
一般代理服务器在工作时会每秒钟转发几千个数据包.收到几个错误数据包不会影响正常的工作.这是问我最多的一类提示了。
NET: N messages suppressed.
服务器忽略了 N 个数据包.和上一条提示类似.服务器收到的数据包被认为是无用的垃圾数据数据. 这类数据多是由攻击类的程序产生的。
这条提示如果 N 比较小的时候可以忽略.但如果经常或是长时间出现3位数据以上的这类提示.就很有可能是服务器受到了垃圾数据类的带宽攻击了。
UDP: bad checksum. From 221.200.X.X:50279 to 218.62.X.X:1155 ulen 24
UDP: short packet: 218.2.X.X:3072 3640/217 to 222.168.X.X:57596
218.26.131.X sent an invalid ICMP type 3, code 13 error to a broadcast: 0.1.0.4 on eth0
服务器收到了一个错误的数据包.分别为 UDP校验和错误; 过短的UDP数据包; 一个错误的ICMP类型数据. 这类信息一般情况下也是非法产生的。但一般问题不大可直接忽略。
kernel: conntrack_ftp: partial 227 2205426703+13
FTP_NAT: partial packet 2635716056/20 in 2635716048/2635716075
服务器在维持一条FTP协议的连接时出错. 这样的提示一般都可以直接忽略。
网络通信严重出错提示
NETDEV WATCHDOG: eth1: transmit timed out
eth1: link down
eth1: link up, 10Mbps, half-duplex, lpa 0x0000
eth2: link up, 100Mbps, full-duplex, lpa 0x41E1
setting full-duplex based on MII #24 link partner capability of 45e1
这些提示是网络通信中出现严重问题时才会出现.故障基本和网络断线有关系. 这几条提示分别代表的含意是 某块网卡传送数据超时; 网卡连接down; 网卡连接up,连接速率为10/100Mbps,全/半双功.这里写到的最后三行的提示比较类似. 出现这类提示时必须注意网络连接状况进行处理!!!
NIC Link is Up 100 Mbps Full Duplex
情况和 kernel: eth1: link up,...相同.指某块网卡适应的连接速率. 一般认为没有说明哪个网卡down,只是连续出现网卡适应速率也是通信有问题。如果是网线正常的断接可以忽略这类的信息。
eth0: Transmit timed out, status 0000, PHY status 786d, resetting... eth0: Reset not complete yet. Trying harder.
第一条提示 网卡关送数据失败. 复位网卡. 第二条提示 网卡复位不成功.... 这些提示都属于严重的通信问题。
eth1: Transmit error, Tx status register 82. Probably a duplex mismatch. See Documentation/networking/vortex.txt Flags; bus-master 1, dirty 9994190(14) current 9994190(14) Transmit list 00000000 vs. f7171580. 0: @f7171200 length 800001e6 status 000101e6 1: @f7171240 length 8000008c status 0001008c ....
这个提示是3com网卡特有的. 感觉如果出现量不大的话也不会影响很严重. 目前看维一的解决办法是更换服务器上的网卡。 实在感觉3com的网卡有些问题...
服务器报警程序的提示
0001 ##WMPCheckV001## 2005-04-13_10:10:01 Found .(ARP Spoofing sniffer)! IP:183 MAC:5 0002 ##WMPCheckV001## 2005-04-07_01:53:32 Found .(MAC_incomplete)! IP:173 mac_incomplete:186 0003 ##WMPCheckV001## 2005-04-17_16:25:11 Found .(HIGH_synsent)! totl:4271 SynSent:3490 0004 ##WMPCheckV001## 20......
这是由报警程序所引起的提示. 详细的信息需要用报警程序的客户端
服务器系统严重故障
CPU0: Temperature above threshold CPU0: Running in modulated clock mode
服务器CPU工作温度过高. 必须排除硬件故障。
需要技能
数据恢复是一个技术含量比较高的行业,数据恢复技术人员需要具备汇编语言和软件应用的技能,还需要电子维修和机械维修以及硬盘技术。
第一:软件应用和汇编语言基础
在数据恢复的案例中,软件级的问题占了三分之二以上的比例,比如文件丢失、分区表丢失或破坏、数据库破坏等,这些就需要具备对DOS、Windows、Linux以及Mac的操作系统以及数据结构的熟练掌握,需要对一些数据恢复工具和反汇编工具的熟练应用。
第二:电子电路维修技能
在硬盘的故障中,电路的故障占据了大约一成的比例,最多的就是电阻烧毁和芯片烧毁,作为一个技术人员,必须具备电子电路知识已经熟练的焊接技术。
第三:机械维修技能
随着硬盘容量的增加,硬盘的结构也越来越复杂,磁头故障和电机故障也变的比较常见,开盘技术已经成为一个数据恢复工程师必须具备的技能。
第四:硬盘固件级维修技术
硬盘固件损坏也是造成数据丢失的一个重要原因,固件维修不当造成数据破坏的风险相对比较高,而固件级维修则需要比较专业的技能和丰富的经验。
恢复技巧
1.不必完全扫描
如果你仅想找到不小心误删除的文件,无论使用哪种数据恢复软件,也不管它是否具有类似EasyRecovery快速扫描的方式,其实都没必要对删除文件硬盘分区进行完全的簇扫描。因为文件被删除时,操作系统仅在目录结构中给该文件标上删除标识,任何数据恢复软件都会在扫描前先读取目录结构信息,并根据其中的删除标志顺利找到刚被删除的文件。所以,你完全可在数据恢复软件读完分区的目录结构信息后就手动中断簇扫描的过程,软件一样会把被删除文件的信息正确列出,如此可节省大量的扫描时间,快速找到被误删除的文件数据。
2.尽可能采取NTFS格式分区
NTFS分区的MFT以文件形式存储在硬盘上,这也是EasyRecovery和Recover4all即使使用完全扫描方式对NTFS分区扫描也那么快速的原因——实际上它们在读取NTFS的MFT后并没有真正进行簇扫描,只是根据MFT信息列出了分区上的文件信息,非常取巧,从而在NTFS分区的扫描速度上压倒了老老实实逐个簇扫描的其他软件。不过对于NTFS分区的文件恢复成功率各款软件几乎是一样的,事实证明这种取巧的办法确实有效,也证明了NTFS分区系统的文件安全性确实比FAT分区要高得多,这也就是NTFS分区数据恢复在各项测试成绩中最好的原因,只要能读取到MFT信息,就几乎能100%恢复文件数据。
3.巧妙设置扫描的簇范围
设置扫描簇的范围是一个有效加快扫描速度的方法。像EasyRecovery的高级自定义扫描方式、FinalData和File Recovery的默认扫描方式都可以让你设置扫描的簇范围以缩短扫描时间。当然要判断目的文件在硬盘上的位置需要一些技巧,这里提供一个简单的方法,使用操作系统自带的硬盘碎片整理程序中的碎片分析程序(千万小心不要碎片整理啊,只是用它的碎片分析功能),在分区分析完后程序会将硬盘的未使用空间用图形方式清楚地表示出来,那么根据图形的比例估计这些未使用空间的大致簇范围,搜索时设置只搜索这些空白的簇范围就好了,对于大的分区,这确实能节省不少扫描时间。
4.使用文件格式过滤器
以前没用过数据恢复软件的朋友在第一次使用时可能会被软件的能力吓一跳,你的目的可能只是要找几个误删的文件,可软件却列出了成百上千个以前删除了的文件,要找到自己真正需要的文件确实十分麻烦。这里就要使用EasyRecovery独有的文件格式过滤器功能了,在扫描时在过滤器上填好要找文件的扩展名,如“*.doc”,那么软件就只会显示找到的DOC文件了;如果只是要找一个文件,你甚至只需要在过滤器上填好文件名和扩展名(如important.doc),软件自然会找到你需要的这个文件,很是快捷方便。
丢失处理
一、服务器租用的存储非常重要的,这个我想大家都知道,硬盘作为服务器的主要存储设备,硬盘是一种技术含量高、制造精密的设备,现在的服务器硬盘已经达到1万转以上,普通的SATA硬盘也非常接近这个转速,在实际的应用中,一点小问题都可能造成服务器硬盘的故障,所以一般服务器租用都采用 Raid磁盘阵列存储,这样就可以增加服务器硬盘的抗故障能力。
二、除了以上的方法外,对于一些重要的数据还要进行实时的备案,推荐企业用户、商务用户架构的网络服务器,选用磁带机配合专业备份软件(VeritasNetbackup、CAArcserver),定时进行备份,如果条件允许的话最好能每天备份。
三、因为个人的错误操作原因,导致服务器文件不小心被删除或者丢失的话,可在网上下载一些恢复软件(DataRecove,Easyrecove 等)尝试来进行恢得,当然,做之前可以先用Ghost软件做个磁盘全备份,同时在恢复时最好是接从盘。如果你对自己的恢复结果不满意,还可以到电脑城找专业的数据恢复公司帮你进行硬盘数据恢复。
四、要经常关心服务器的运行状况,对于服务器的指示和警示灯要多留意。一般来讲,服务器租用外观都有每一块硬盘指示灯,正常情况下一般会是绿色,指示灯出现特殊情况时,就需要采用相关措施,仔细检查硬盘设备是否正常。一旦硬盘受损或者出现故障,不要擅自处理,要找有经验的技术人员作出详细检查再作处理方案。
注意事项
在服务器发生故障后,需注意以下几点:
1、服务器发生故障后,用户切忌再对服务器进行任何操作,也切忌随意取出硬盘,以免弄乱顺序增加后期数据恢复的难度。
2、如果已经取出硬盘,标记好硬盘的顺序。
3、求助专业服务器数据恢复公司的专业服务器数据恢复工程师,切忌随意交给不知名的小数据恢复公司。
4、如果单位服务器内存储的是保密度较高、或者较为重要的数据资料,建议配备单位内部服务器数据恢复设备,防止将数据库交由外部数据恢复公司进行数据恢复时,造成数据丢失或泄漏。
5、需要在专业人员帮助下抓取服务器阵列卡或存储管理系统里边的日志,为数据恢复提供数据恢复索引。
6、如需取出硬盘恢复,则将记录服务器硬盘接口对应编号。在取服务器硬盘时应当佩戴静电手环,以防硬盘静电击伤。
参考资料
最新修订时间:2022-12-04 17:32
目录
概述
故障类型
参考资料