以下内容为 ReclaiMe Pro 官方提供的 RAID 数据恢复培训内容。ReclaiMe Pro(点击链接查看软件功能介绍)是复杂 RAID 数据恢复的首选软件,天津鸿萌科贸发展有限公司是 ReclaiMe Pro 软件在中国的授权代理商。
本系列文章采取练习与练习讲义相结合的方式,以专业思路,指导用户学习 RAID 的分析与恢复方法。
一、练习:使用 ReclaiMe Pro 进行 RAID 阵列内容分析
任务 1 - 利用 RAID 磁盘的内容分析截图,确定 RAID 阵列配置信息
由于内容分析是恢复任何 RAID 阵列的第一步,因此您经常会用到 ReclaiMe Pro 中的内容分析工具。 但是,仅靠内容分析并不能帮助揭示 RAID 信息 - 还必须对分析结果进行解释,并得出结论。因此,在第一个任务中,要求您尽可能多地从 ReclaiMe Pro 的磁盘信息截图中获取更多的 RAID 配置信息。
任务 2 - 使用 RAID 磁盘镜像文件,确定 RAID 配置信息
使用屏幕截图对内容分析数据进行解释,这一步完成后, 我们鼓励您自己完成以下所有操作 - 加载磁盘镜像到 ReclaiMe Pro,启动内容分析,并解释分析结果。 在第二个任务中,从以下链接下载未知阵列的四个磁盘镜像文件(https://www.data.recovery.training/disk-images/raid-content-analysis.zip),利用 ReclaiMe Pro 中内容分析功能,尽可能多地获取当前 RAID 的信息。
二、练习讲义
任务1——利用 RAID 磁盘的内容分析截图,确定 RAID 阵列配置信息
在这个任务中,我们要使用 ReclaiMe Pro 对 8 块磁盘进行内容分析:
我们用第一栏中列出的从 0 到 7 的数字来命名这些磁盘。
首先,看一下屏幕上方的统计数据。这里有两个磁盘组:磁盘{0、1、2、3}和磁
盘{4,5,6,7}。这些磁盘组是通过零比率和平均熵来划分的。我们得出的初步结论是,这些磁盘构成了两个不同的 RAID。
现在我们来分析一下镜像对。这里我们看到,有两个100%的磁盘镜像对:磁盘4,6和磁盘5,7。所有这些都表明,磁盘4、5、6、7形成了一个 RAID10。这与上面所说的(基于统计数据)磁盘 4、5、6、7 属于同一个阵列的说法并不矛盾。
此外,我们还需要分析奇偶性测试。在我们的课程中,强烈建议你在排除空白磁盘和镜像对后,再进行奇偶性分析。虽然即使包含这些空白磁盘和镜像对,奇偶性分析也是正确的,但结果很难解释。我们需要获得尽可能多的信息。
1. 整个磁盘组的奇偶性等于100%,意味着磁盘组中的所有行都是偶数。让我们来看看属于不同 RAID 的磁盘是如何发生这种情况的。所以,我们先假定磁盘 4、5、6和 7 组成了 RAID10。正如我们在课程中所解释的,镜像总是偶数的(磁盘4、5、6、7 上的每一行都是偶数)。为了使全盘上的所有行都是偶数,磁盘0、1、2、3上的行也应该是偶数。换句话说,有四种配置组合可以在整个磁盘集上获得100%的奇偶性:
- 磁盘0、1、2和3是空白的。
- 磁盘0、1、2和3组成了一个RAID10。
- 上述的任何组合,如RAID1加两个空白磁盘。
- 磁盘0、1、2和3组成一个基于奇偶校验的阵列--RAID5 或 RAID6。
到目前为止,我们从零比率和镜像分析中已知,前三种变体对于被分析的磁盘组是不可能的,唯一可能的选择是,磁盘0、1、2和3形成一个基于奇偶性的阵列。
2. 在排除组合中,我们还可以注意到两个磁盘组:一个磁盘组包括具有31%偶数行的磁盘,另一个磁盘组由具有0%偶数行的磁盘组成。然后,在四个排除组合(磁盘0、1、2、3)中有31%的奇偶校验和相同磁盘有31%的零比率这个现象吸引了我们的注意。让我们来看看如果所有的数据块都是零,那么奇偶校验块会存储什么。
由于 = 1 2 3,如果1, 2 和 3是零块,则 = 0 0 0 0 = 0。如果你从奇偶性计算中排除任何数据块(1、2或3)或奇偶校验块(P),结果都不会发生任何变化,由其余块组成的行仍然平衡,所有这些都表明,磁盘0、1、2和3构成了一个完整的RAID5,其中只有70%的磁盘被填充。
总结
在这个磁盘组中,有一些磁盘形成了两个不同的阵列--磁盘0、1、2和3属于一个完整的RAID5,而磁盘4、5、6和7形成了一个RAID10。对于磁盘组{4,5,6,7},需要选择两个RAID0组中的任何一个--{4,7}或{5,6}--并像典型的RAID0那样执行恢复。对于磁盘集{0,1,2,3},需要进行熵分析。
任务2——使用 RAID 的磁盘镜像文件,确定 RAID 配置
首先我们需要将磁盘镜像文件加载到 ReclaiMe Pro 中。注意,在这个任务中提供的磁盘镜像文件是 VHD 格式的,不是逐个扇区的磁盘拷贝,因此,它们不能直接加载到 ReclaiMe Pro 中。需要先用磁盘管理器来加载。打开磁盘管理器,点击操作 – 加载 VHD , 然后逐一指定磁盘镜像文件的位置。如下图所示:
接下来,我们分析一下磁盘管理器中的情况。我们看到其中一个磁盘有 580MB 大小的分区,因为每个磁盘的大小(307MB),可以得出我们正在处理的是一个RAID10,阵列容量的一半正好被用来存储用户数据:307 ∗ 2 = 614 ,非常接近于分区的大小。然而,正如我们所知,一个健康的RAID10应该在磁盘管理器中显示有两个带有分区的磁盘,因为每个数据块有两个副本存储在RAID10成员磁盘上。但是我们看到只有一个磁盘有分区,因此可以猜测在开始的时候,其中一个磁盘上的数据出了问题,而分区表应该位于该磁盘上。
随后,启动 ReclaiMe Pro,选择刚刚安装的磁盘进行内容分析,得到如下图片:
首先,仔细查看关于零比率和平均熵的统计数字。我们看到0、1、2号盘有相同的零比率(21.3%)和平均熵(5.93b/B),而3号盘的这些特征则与它们不同。初步的结论是,磁盘0、1和2是来自同一个阵列,而磁盘3似乎是一个外来的磁盘。
现在让我们继续进行镜像分析。这里我们看到,磁盘0和2形成一对镜像,而磁盘1和3是部分镜像(25%)。因此,我们不能说磁盘3不属于被分析的阵列。这样的部分镜像可以解释为我们处理的是RAID10,其中磁盘3的数据部分丢失,例如由于错误的重建。剩余的所有数据是位于磁盘末端的25%的磁盘数据。
在我们的数据恢复课程中,我们提到奇偶性分析只对基于奇偶性的阵列有意义。然而,奇偶性测试是针对任何一组磁盘的,当前这个案例也不例外,所以我们也来看看奇偶性分析。在分析之前,请记住,ReclaiMe Pro只在那些至少有一个非零数据块的行中计算奇偶性。
因此,我们看到整个磁盘集的奇偶性测试检测到大约30%的偶数行。这是怎么得出的呢?从镜像分析中,我们知道有一个全镜像对(磁盘0和2)和一个部分镜像对(磁盘1和3中的25%),这意味着在整个磁盘组中,大约有25%的 "镜像 "行,这反过来又可以得出25%的偶数行(记住:镜像总是偶数)。其余5%的偶数行可以用存储数据的具体情况来解释。通过总结所有的结论,我们可以得出以下图片(注意,为了方便,磁盘1和2被替换了):
我们可以看到,排除了磁盘 1 的组合的偶数行的数量是76%。这个数字可以由以下事实来解释:
磁盘0和2是镜像对,这意味着在这些磁盘的块上计算的奇偶性是0,因此,在计算奇偶性时,只有存储在磁盘3上的数据是重要的。如果磁盘3上的某些数据块是0,你就会得到一个偶数行,否则就是非偶数。
由于 ReclaiMe Pro 不计算完全为零的行的奇偶性(也就是21%的零是不考虑的),在第3个磁盘的开始位置的较大范围内的零数据区域得到了偶数行。
因此,尽管在这种情况下,奇偶校验分析并没有带来更多有关RAID的新信息,但它仍然证实了基于统计和镜像分析的结论。
总结
所有的迹象表明,我们处理的是一个由4个磁盘构成的RAID10,其中一个磁盘(磁盘3)不同步,可能是因为重建不成功导致的。此外,我们需要从健康的镜像对中选择任何一个磁盘--磁盘0或磁盘2--以及从部分镜像对中选择唯一健康的磁盘--磁盘1—然后进行RAID 0恢复。