服务器数据恢复环境:
某品牌服务器中有一组由4块SAS磁盘做的RAID5磁盘阵列。该服务器操作系统为windows server,运行了一个单节点Oracle,数据存储为文件系统,无归档。该oracle数据库的数据量不大,oracle数据库内只有一个用户,使用默认的users表空间,users表空间下仅有一个数据文件。
服务器故障:
可能是服务器负荷过重,底层RAID5磁盘阵列出现故障。为了挽救数据,管理员做了重建RAID的操作,后但是在RAID初始化过程中又有一块磁盘出现故障,导致RAID初始化被迫中止。这时RAID磁盘阵列可访问,操作系统能正常启动,但是出现错误。oracle数据库所在D盘分区报错无法打开,管理员执行chkdsk后能正常打开,但oracle数据库无法启动。管理员在原盘上重装了oracle数据库,并导入了以前备份的dmp文件,但数据差得太多。需要恢复缺失的数据。
服务器数据恢复过程:
1、将故障服务器中所有磁盘标记后取出。经过硬件工程师检测没有发现有硬盘存在物理故障,都可以正常读取。以只读方式将所有硬盘进行扇区级全盘镜像,镜像完成后将所有磁盘按照标记还原到原服务器中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘镜像造成二次破坏。
2、基于镜像文件分析所有硬盘底层数据,重点分析RAID层。虽然重建RAID会给原始数据造成严重破坏,但经过分析发现重建的RAID的块大小、盘序都和原RAID一样。初始化中仅同步了前面的少量数据,RAID层损坏不严重,oracle数据库还没被破坏。
3、针对管理员对分区执行chkdsk、重装oracle数据库和导入dmp文件这一系列操作所造成影响的分析:Chkdsk不会破坏数据区,chkdsk只对文件系统元数据区进行修改。执行chkdsk后数据库文件仍无破坏,至多是文件的MFT或目录项被破坏。对数据影响最严重的是重装Oracle数据库和导入dmp文件的操作,这2个操作不仅破坏文件系统元数据区,还对数据区进行进行覆盖破坏。
4、对D盘的NTFS文件系统进行分析,发现原所有oracle数据文件的的MFT均被覆盖,NTFS日志也被轮回覆盖,从NTFS元数据区找不可利用信息。使用北亚企安自主开发的Oracle恢复程序对D盘分区进行扫描。经过扫描,发现Oracle实例为ANSORA,扫描出的一个完整的控制文件和一个完整的undotbs表空间数据文件。更为重要的system表空间和users表空间数据文件均有不同程度的损坏,其中system表空间的数据文件仅剩极一小部分,而users表空间的数据文件部分被覆盖。提取出找到的数据,然后再试图对严重损坏的数据库文件进行修复。
5、system表空间不可用,无法得到数据字典。在和用户方沟通后,用户方确认只需要恢复其中最重要的三张表即可。从imp回去的数据库中得到这三张表的结构,再从恢复出来的users表空间的数据文件中找到对应的segment,但其中有一张表怎么都对应不上。再次和用户方沟通才得知这一张表曾经有过更改字段的操作,然后构建新的表结构对应上users表空间数据文件中segment,然后通过dul工具提取这三张表的数据。经过用户方验证,确认数据无问题。本次数据恢复工作完成。