Datenrettung eines DELL PowerEdge T320 mit zwei RAID 5 und virtuellen Maschinen

Die Wiederherstellung der Datenbanken aus der aufgesplitteten VMDK über zwei RAID 5 erfolgte im Rahmen unseres Business Service - die Analyse und Datenrettung war nach vier Tagen abgeschlossen.

10. Juli 2018 - Sebastian Evers

Ausgangssituation des Datenverlusts:

Speichermedium mit Datenverlust:

• DELL PowerEdge T320 Server
• zwei RAID 5 Arrays mit insgesamt acht SAS Festplatten:

1. RAID 5 Array: 3x DELL 9FN066-150 / Seagate Cheetah 10k  ST360005722
2. RAID 5 Array: 5x DELL HDEPC03DLA51 / Toshiba MG03SCA100

• VMFS / VMWare / virtuelle Maschinen (VMDK)
• Windows Server 2008 R2
• Spanned Volume

Zur Wiederherstellung spezifizierte Daten:

• Datenbanken/Datenbankdateien (SQL)
• DICOM-Dateien (DC3, DCM, DIC)

Die Datenbanken und Datensätze waren für die Mitarbeiter einer renommierten Tierarztpraxis nicht mehr zugreifbar. Bei der Überprüfung des DELL Servers musste festgestellt werden, dass zwei von drei Festplatten eines der beiden RAID 5 grün und orange blinkten. Ein Neustart des Servers brachte keine Veränderung.

Bei der Überprüfung der Datensicherung musste festgestellt werden, dass das Backup seit mehreren Monaten nur fehlerhaft durchgeführt worden war, ohne dass eine Fehlermeldung darauf hingewiesen hätte. Da nicht auf die Datensicherung zurückgegriffen werden konnte wurde der technische Support von DELL kontaktiert, welcher sich per Remote auf den PowerEdge Server eingeloggt hat und die "foreign configuration" gelöscht hat.

Analyse, Durchführung der Datenrettung:

Der komplette RAID Server mit den acht SAS Festplatten wurde von Attingos Kurier direkt beim Kunden abgeholt und in das Hamburger Datenrettungslabor gebracht. Unter Berücksichtigung der Schilderung des Kunden wurde in der Diagnose das als relevant spezifizierte RAID 5 mit drei Datenträgern einer umfassenden Analyse unterzogen. Dabei konnten physische und mechanische Fehler an zwei der drei Datenträger diagnostiziert werden.

Im weiteren Verlauf der Analyse wurde das RAID 5 wiederhergestellt und virtuell simuliert. Dabei konnte die spezifizierte VMDK-Datei ausgemacht werden, allerdings lag diese nur unvollständig vor. Während der weiteren Diagnosearbeiten kamen unsere Techniker zu dem Schluss, dass ein logisches Volumen (spanned volume) über beide RAID 5 konfiguriert worden ist bzw. die ursprüngliche Partition in Ermangelung von ausreichend Speicherplatz auf das zweite RAID 5 Volumen erweitert worden ist.

Nach Rücksprache mit dem Kunden wurde auch das zweite RAID 5 einer umfassenden Analyse unterzogen. Bei unseren Diagnosearbeiten bestätigten sich unsere Vermutungen hinsichtlich der Aufsplittung und es war möglich die virtuelle Maschine sowie deren Datenbankinhalte vollständig zu rekonstruieren.

Besonderheit:

DICOM-Dateien (Digital Imaging und Communications in Medicine) sind das meist verbreitetste Dateiformat zur Verwaltung und Übertragung medizinischer Bilder (z. B. Röntgenaufnahmen, Computertomographie). DICOM-Dateien organisieren verschiedenste Dateien zu einem Datensatz mit einem eigenständigen Inhaltsverzeichnis (quasi ein Mini-Dateisystem) der Datei.

Dies kann problematische Auswirkungen haben, wenn die Header-Informationen der Dateien aufgrund von Dateisystemfehlern nicht mehr existent sind und die Daten anonym vorliegen. In diesem Fall hat man bei anderen Dateiformaten (z. B. Bilddateien, Microsoft Office Dateien) die Möglichkeit die Datei als solche, nur eben ohne Dateiname und Verzeichnis-/Ordnerstruktur, verwendbar wiederherzustellen.

Da DICOM-Dateien allerdings mehrere Daten unter einem eigenen Inhaltsverzeichnis (Metainformationen) semantisch in einem "Container" zusammenfassen und die enthaltenen Dateien keinen Vermerk darüber speichern, zu welchem Datensatz sie gehören, ist eine händische Zuordnung - je nach Umfang - fast nicht realisierbar, wenn die Metainformationen (u. a. Patientenname, -geschlecht) des DICOM-Containers verloren gehen.