Go to Top

Medien reparieren, komplexe Datenebenen enträtseln oder wie eine Datenrettung praktisch abläuft (2)

Datenrettung

Datenrettung ist mehr als einfach nur ein Datenspeicher-Medium zu reparieren und anschließend auszulesen. Wie wir in unserem vorigen Blogartikel ausgeführt haben, beginnt jedes Datenrettungsprojekt naturgemäß mit einer Anfrage bei einem unserer Datenrettungszentren, die über die ganze Welt verteilt sind. Meistens können sich unsere Servicemitarbeiter anhand der Kundenangaben per Telefon oder per E-Mail bereits ein gutes Bild darüber machen, welche Aufgaben auf die Spezialisten im Reinraum und/oder Datenrettungslabor zukommen. Aber richtig spannend wird es immer wenn die Medien oder komplette Storage-Systeme entweder zu uns geschickt werden oder eine Remote-Verbindung zum problematischen Kundenrechner aufgebaut wird …

Wie bereits ausgeführt fängt jede Datenrettung mit einer Analyse über die Machbarkeit einer Datenrettung an. Dabei wird zunächst festgestellt, ob es überhaupt möglich ist auf den Datenträger oder das System zuzugreifen. Ist das nicht der Fall und das Problem liegt in einem mechanischem Defekt, arbeiten zunächst die Spezialisten des Reinraums daran, das Medium zu reparieren. Die Probleme können hier vielfältig sein: Bei herkömmlichen Festplatten kann es sich beispielsweise um einen Headcrash handeln, während bei einer SSD-Festplatte entweder ein Controller oder ein Speicherchip ausgefallen sein kann. So oder so, Aufgabe der Experten aus dem Reinraum ist es das Gerät so wieder instand zu setzen, dass das Medium bzw. die Medien so ausgelesen werden können, dass die meisten Daten wiederhergestellt werden können. Hierbei kommen nicht nur die vielen zum Großteil selbstentwickelten Werkzeuge zum Einsatz, sondern auch das umfangreiche Materiallager, in dem die meisten Festplatten und Speichermedien (und ihre Teile) der vergangenen 30 Jahre vorgehalten werden, sodass kaputte Bauteile – wenn nötig – ausgetauscht werden können.

Bei komplexeren Systemen besonders im Unternehmenseinsatz reicht die mechanische Datenrettung mit einer eingeschränkten logischen Datenrettung meistens nicht aus, sondern muss um eine deutlich erweiterte logische Datenrettung ergänzt werden. Da in vielen Fällen ein Ausfall einer oder mehrerer Festplatten in einem RAID-, NAS-, virtuellen oder hyper-konvergenten Storage-System trotz der von den Herstellern beworbenen Ausfallsicherheit oder mehrfacher Speicherredundanz vorkommen kann. Wenn dann noch fehlendes Anwender-Knowhow und unvollständige aktuelle Backups zu einem Datenverlust führt, kommen deshalb nach der mechanischen Recovery die Experten des Datenrettungslabors ins Spiel.

Ihre Aufgabe ist die eines Spürhundes, der sich auf die Suche nach noch vorhandenen Datenspuren macht, um zunächst Schicht für Schicht die komplexen Storage-Systeme zu rekonstruieren, um anschließend die Daten wiederherzustellen. Denn wenn es zu einem Ausfall kommt, sei es durch einen mechanischen Defekt oder durch Anwenderfehler, ist das System meistens in Betrieb und das letzte Backup ist normalerweise mindestens einige Stunden alt.

Kroll_Ontrack_Strukturlabor_2_small

Durchschauen, aufspüren, herausbekommen….

Die Herausforderung für die Profis aus dem Datenrettungslabor ist es deshalb, so schnell wie möglich die zugrundeliegende System- wie auch Datenstruktur-Logik zu ergründen und zu rekonstruieren. Dabei ist die Vorgehensweise der Profis stark von dem vorliegenden Fall abhängig. Eines ist aber immer klar, auf dem oder den Originalmedien wird auf keinen Fall gearbeitet. Vielmehr werden alle ausgelesenen Daten der Speichermedien auf Kroll Ontrack Server kopiert, um anschließend logisch bearbeitet zu werden.

Zwei Beispiele zeigen die Bandbreite der Aufgaben bei einer logischen Recovery: Bei einem Industrieunternehmen sollte eine virtuelle Maschine auf neue Hardware umziehen. Dabei zeigte die vMotion Software keine Fehler, trotzdem stellten die Mitarbeiter anschließend fest, dass statt 900 GB nur 50 verschoben wurden. Die ursprüngliche VM mit allen Snapshots war verschwunden. Für die Wiederherstellung der verschwundenen virtuellen Maschine und der darin enthaltenen Daten mussten Experten des Kroll Ontrack Datenrettungslabors nach verbliebenen Fragmenten der virtuellen Maschine sowohl auf dem eingesetzten VMware/HP SAN System und den betroffenen LUNs als auch auf der neuen Hardware suchen. Mittels spezieller Software wurden die vorhandenen Fragmente dann miteinander in Verbindung gebracht. Erst dadurch war es schließlich möglich die defekten Verweise und Zuordnungen zu rekonstruieren, um damit die gesamte virtuelle Maschine wiederherzustellen.

In einem anderen Fall verlor ein Kunde gleich vier virtuelle Maschinen in einem brandneuen VMware vSAN System. Um das vSAN System und die virtuellen Maschinen wiederherstellen zu können, wurden von der Forschungs- und Entwicklungsabteilung von Kroll Ontrack extra neue Werkzeuge entwickelt, um die zum Identifizieren und Zusammensetzen der Daten notwendigen Description- und Log-Files zu finden, zu verbinden und wiederherzustellen. Da die Datastores faktisch als Container fungieren, mussten zunächst die Verweise zu den enthaltenen virtuellen Maschinen identifiziert werden, damit man diese  in weiteren Schritten wieder rekonstruieren konnte. Durch die neuen Werkzeuge war es dann schließlich möglich, Informationen darüber zu bekommen, in welcher Weise die virtuellen Maschinen im Datastore von vSAN gespeichert und auf den betroffenen Festplatten verteilt wurden.

Diese Beispiele zeigen deutlich wie komplex eine logische Datenrettung eines modernen Enterprise-Server oder -Storage Systems sein kann. Grundsätzlich gilt es zunächst herauszufinden wie das System intern überhaupt läuft und wie seine Datenstruktur aufgebaut ist. Heutzutage sind verschiedene Technologien von den Herstellern in ihre oder Fremd-Produkte so integriert worden, dass mehrere Technologie- und Datenebenen aufeinander aufbauen und somit Stück für Stück rekonstruiert werden müssen, bis man zur untersten Ebene – den Daten – gelangt. Erst wenn alle ineinander verschachtelten Ebenen wieder verfügbar sind, können dann die eigentlichen Daten gerettet und wiederhergestellt werden. In manchen Fällen – wenn beispielsweise die Systeme zu neu oder exotisch sind – reichen selbst die vielen Kroll Ontrack eigenen Softwaretools nicht mehr aus und es müssen neue programmiert werden. Aber egal welche Werkzeuge zur Verfügung stehen, bei den Projekten kommt es im Wesentlichen auf das geballte Knowhow der Datenrettungsspezialisten an. Aus diesem Grund sollte man sich bei Datenverlusten im Enterprise-Umfeld auch immer auf einen seriösen und erfahrenen Datenrettungsdienstleister verlassen, denn ohne die nötige Erfahrung können rettbare Daten für immer zerstört werden.

Holger Engelland, Leiter des Datenrettungslabors Kroll Ontrack, Böblingen