以下内容為 ReclaiMe Pro 官方提供的 RAID 資料恢複教育訓練内容。ReclaiMe Pro(點選連結檢視軟體功能介紹)是複雜 RAID 資料恢複的首選軟體,天津鴻萌科貿發展有限公司是 ReclaiMe Pro 軟體在中國的授權代理商。
本系列文章采取練習與練習講義相結合的方式,以專業思路,指導使用者學習 RAID 的分析與恢複方法。
一、練習:使用 ReclaiMe Pro 進行 RAID 陣列内容分析
任務 1 - 利用 RAID 磁盤的内容分析截圖,确定 RAID 陣列配置資訊
由于内容分析是恢複任何 RAID 陣列的第一步,是以您經常會用到 ReclaiMe Pro 中的内容分析工具。 但是,僅靠内容分析并不能幫助揭示 RAID 資訊 - 還必須對分析結果進行解釋,并得出結論。是以,在第一個任務中,要求您盡可能多地從 ReclaiMe Pro 的磁盤資訊截圖中擷取更多的 RAID 配置資訊。
任務 2 - 使用 RAID 磁盤鏡像檔案,确定 RAID 配置資訊
使用螢幕截圖對内容分析資料進行解釋,這一步完成後, 我們鼓勵您自己完成以下所有操作 - 加載磁盤鏡像到 ReclaiMe Pro,啟動内容分析,并解釋分析結果。 在第二個任務中,從以下連結下載下傳未知陣列的四個磁盤鏡像檔案(https://www.data.recovery.training/disk-images/raid-content-analysis.zip),利用 ReclaiMe Pro 中内容分析功能,盡可能多地擷取目前 RAID 的資訊。
二、練習講義
任務1——利用 RAID 磁盤的内容分析截圖,确定 RAID 陣列配置資訊
在這個任務中,我們要使用 ReclaiMe Pro 對 8 塊磁盤進行内容分析:
我們用第一欄中列出的從 0 到 7 的數字來命名這些磁盤。
首先,看一下螢幕上方的統計資料。這裡有兩個磁盤組:磁盤{0、1、2、3}和磁
盤{4,5,6,7}。這些磁盤組是通過零比率和平均熵來劃分的。我們得出的初步結論是,這些磁盤構成了兩個不同的 RAID。
現在我們來分析一下鏡像對。這裡我們看到,有兩個100%的磁盤鏡像對:磁盤4,6和磁盤5,7。所有這些都表明,磁盤4、5、6、7形成了一個 RAID10。這與上面所說的(基于統計資料)磁盤 4、5、6、7 屬于同一個陣列的說法并不沖突。
此外,我們還需要分析奇偶性測試。在我們的課程中,強烈建議你在排除空白磁盤和鏡像對後,再進行奇偶性分析。雖然即使包含這些空白磁盤和鏡像對,奇偶性分析也是正确的,但結果很難解釋。我們需要獲得盡可能多的資訊。
1. 整個磁盤組的奇偶性等于100%,意味着磁盤組中的所有行都是偶數。讓我們來看看屬于不同 RAID 的磁盤是如何發生這種情況的。是以,我們先假定磁盤 4、5、6和 7 組成了 RAID10。正如我們在課程中所解釋的,鏡像總是偶數的(磁盤4、5、6、7 上的每一行都是偶數)。為了使全盤上的所有行都是偶數,磁盤0、1、2、3上的行也應該是偶數。換句話說,有四種配置組合可以在整個磁盤集上獲得100%的奇偶性:
- 磁盤0、1、2和3是空白的。
- 磁盤0、1、2和3組成了一個RAID10。
- 上述的任何組合,如RAID1加兩個空白磁盤。
- 磁盤0、1、2和3組成一個基于奇偶校驗的陣列--RAID5 或 RAID6。
到目前為止,我們從零比率和鏡像分析中已知,前三種變體對于被分析的磁盤組是不可能的,唯一可能的選擇是,磁盤0、1、2和3形成一個基于奇偶性的陣列。
2. 在排除組合中,我們還可以注意到兩個磁盤組:一個磁盤組包括具有31%偶數行的磁盤,另一個磁盤組由具有0%偶數行的磁盤組成。然後,在四個排除組合(磁盤0、1、2、3)中有31%的奇偶校驗和相同磁盤有31%的零比率這個現象吸引了我們的注意。讓我們來看看如果所有的資料塊都是零,那麼奇偶校驗塊會存儲什麼。
由于 = 1 2 3,如果1, 2 和 3是零塊,則 = 0 0 0 0 = 0。如果你從奇偶性計算中排除任何資料塊(1、2或3)或奇偶校驗塊(P),結果都不會發生任何變化,由其餘塊組成的行仍然平衡,所有這些都表明,磁盤0、1、2和3構成了一個完整的RAID5,其中隻有70%的磁盤被填充。
總結
在這個磁盤組中,有一些磁盤形成了兩個不同的陣列--磁盤0、1、2和3屬于一個完整的RAID5,而磁盤4、5、6和7形成了一個RAID10。對于磁盤組{4,5,6,7},需要選擇兩個RAID0組中的任何一個--{4,7}或{5,6}--并像典型的RAID0那樣執行恢複。對于磁盤集{0,1,2,3},需要進行熵分析。
任務2——使用 RAID 的磁盤鏡像檔案,确定 RAID 配置
首先我們需要将磁盤鏡像檔案加載到 ReclaiMe Pro 中。注意,在這個任務中提供的磁盤鏡像檔案是 VHD 格式的,不是逐個扇區的磁盤拷貝,是以,它們不能直接加載到 ReclaiMe Pro 中。需要先用磁盤管理器來加載。打開磁盤管理器,點選操作 – 加載 VHD , 然後逐一指定磁盤鏡像檔案的位置。如下圖所示:
接下來,我們分析一下磁盤管理器中的情況。我們看到其中一個磁盤有 580MB 大小的分區,因為每個磁盤的大小(307MB),可以得出我們正在處理的是一個RAID10,陣列容量的一半正好被用來存儲使用者資料:307 ∗ 2 = 614 ,非常接近于分區的大小。然而,正如我們所知,一個健康的RAID10應該在磁盤管理器中顯示有兩個帶有分區的磁盤,因為每個資料塊有兩個副本存儲在RAID10成員磁盤上。但是我們看到隻有一個磁盤有分區,是以可以猜測在開始的時候,其中一個磁盤上的資料出了問題,而分區表應該位于該磁盤上。
随後,啟動 ReclaiMe Pro,選擇剛剛安裝的磁盤進行内容分析,得到如下圖檔:
首先,仔細檢視關于零比率和平均熵的統計數字。我們看到0、1、2号盤有相同的零比率(21.3%)和平均熵(5.93b/B),而3号盤的這些特征則與它們不同。初步的結論是,磁盤0、1和2是來自同一個陣列,而磁盤3似乎是一個外來的磁盤。
現在讓我們繼續進行鏡像分析。這裡我們看到,磁盤0和2形成一對鏡像,而磁盤1和3是部分鏡像(25%)。是以,我們不能說磁盤3不屬于被分析的陣列。這樣的部分鏡像可以解釋為我們處理的是RAID10,其中磁盤3的資料部分丢失,例如由于錯誤的重建。剩餘的所有資料是位于磁盤末端的25%的磁盤資料。
在我們的資料恢複課程中,我們提到奇偶性分析隻對基于奇偶性的陣列有意義。然而,奇偶性測試是針對任何一組磁盤的,目前這個案例也不例外,是以我們也來看看奇偶性分析。在分析之前,請記住,ReclaiMe Pro隻在那些至少有一個非零資料塊的行中計算奇偶性。
是以,我們看到整個磁盤集的奇偶性測試檢測到大約30%的偶數行。這是怎麼得出的呢?從鏡像分析中,我們知道有一個全鏡像對(磁盤0和2)和一個部分鏡像對(磁盤1和3中的25%),這意味着在整個磁盤組中,大約有25%的 "鏡像 "行,這反過來又可以得出25%的偶數行(記住:鏡像總是偶數)。其餘5%的偶數行可以用存儲資料的具體情況來解釋。通過總結所有的結論,我們可以得出以下圖檔(注意,為了友善,磁盤1和2被替換了):
我們可以看到,排除了磁盤 1 的組合的偶數行的數量是76%。這個數字可以由以下事實來解釋:
磁盤0和2是鏡像對,這意味着在這些磁盤的塊上計算的奇偶性是0,是以,在計算奇偶性時,隻有存儲在磁盤3上的資料是重要的。如果磁盤3上的某些資料塊是0,你就會得到一個偶數行,否則就是非偶數。
由于 ReclaiMe Pro 不計算完全為零的行的奇偶性(也就是21%的零是不考慮的),在第3個磁盤的開始位置的較大範圍内的零資料區域得到了偶數行。
是以,盡管在這種情況下,奇偶校驗分析并沒有帶來更多有關RAID的新資訊,但它仍然證明了基于統計和鏡像分析的結論。
總結
所有的迹象表明,我們處理的是一個由4個磁盤構成的RAID10,其中一個磁盤(磁盤3)不同步,可能是因為重建不成功導緻的。此外,我們需要從健康的鏡像對中選擇任何一個磁盤--磁盤0或磁盤2--以及從部分鏡像對中選擇唯一健康的磁盤--磁盤1—然後進行RAID 0恢複。