Il caso che abbiamo trattato recentemente riguarda un recupero dati da NAS di tipo DAS (Direct Attached Storage) in RAID 10, ovvero composto da due RAID 0 che poi sono in mirror tra loro (RAID 1). Questa configurazione è composta da 4 HDD che sono uguali a coppie. L’eventuale fallimento di uno dei due RAID 0 non è fatale ma non in questo caso il cliente non è stato fortunato e ha aggravato una situazione pericolosa rendendo del tutto inaccessibili i dati.
Ecco alcune avvertenze da tenere in considerazione quando si sospetta che un nas stia per fermarsi: lentezza della lettura o congelamento dell’unità NAS che con un riavvio sembra a risolversi. Il nostro consiglio in questi casi è quello di spegnere l’unità e non fare ulteriori tentativi di forzatura.
Lo scenario con cui abbiamo avuto a che fare è il seguente: iIl NAS (DAS) PRORAID composto da 4 DISCHI da 3 TB l’uno in RAID 10 era collegato direttamente ad un sistema MAC e veniva usato come storage. I primi segnali di guasto sono comparsi con un led rosso su uno dei dischi, che è stato prontamento tolto dall’unità ma che non è stato sostituito subito. Un ulteriore guasto ad un altro disco ha quindi causato una interruzione nella lettura dei dati.
Le azioni errate dell’utente al questo punto sono state le seguenti:
- Spegnimento e accensione del NAS in modo ripetuto;
- Estrazione dei dischi e reinserimento;
Risultato: Il sistema si ferma del tutto e 5 TB di dati sembrano essere andati perduti. Catastrofe!!
A questo punto il cliente decide di fare l’unica cosa sensata, contattarci!
Il NAS arriva nelle nostre mani e presto individuiamo e risolviamo i problemi dei dischi guasti. Procediamo con ulteriori verifiche sui singoli dischi, con le copie RAW e con l’individuazione dei parametri del RAID 0 (stranamente le dimensioni dello stripe sono di un solo settore contro lo standard di 128 settori, molto strano!).
E’ a questo punto che si presenta un rompicapo: secondo le leggi del RAID 10 disponiamo di componenti che sono sufficienti per il funzionamento e per la ricostruzione dei dati, pero non si riscontra la struttura descritta dall’utente e i dati trovati sono pochissimi. Evidentemente l’utente è riuscito a combinare un danno ben più grave di quello in origine. Non rimane altro da fare che iniziare le verifiche con l’editor esadecimale confrontando tutti e quattro i dischi nello stesso momento, sperando di scoprire il problema. Chi ha già fatto questi tentativi sa benissimo quanto sia difficile e lento il lavoro con i dati grezzi. Alla fine si nota una stranezza: inizialmente i dischi specchiati erano l’1 e il 2, mentre in zone più avanti sono l’1 e il 3. Ci mettiamo in cerca del preciso punto di rottura sfogliando i dati esadecimali a mano per diverse ore.
FIG 1: il disco numerato 5 evidentemente è senza i dati, i dischi 2 e 1 sono identici. Evidentemente il raid 0 da ricreare sarebbe tra il disco 3 e il disco 1-2
FIG 2: Situazione ribaltata: dischi 2 e 3 sono identici. Evidentemente il raid 0 adesso e da ricreare tra il disco 1 e il disco 3-2 (HD 5 non è utilizzabile).
Come è possibile? Come si è arrivati in questa strana situazione? Ci sono ancora margini di recupero di dati?
Ecco cosa è successo: in un certo momento, l’utente ha estratto i dischi dall’unità e successivamente li ha rimessi dentro scambiandoli di posizione in modo che i dischi appartenenti a diversi Raid 0 sono stati mischiati. Un caso assai pericoloso. Infatti il sistema ha iniziato a specchiare i dati su Raid invertiti, arrivando fino ad un certo settore, quando l’utente ha spento l’unità NAS. Il software del NAS successivamente ha iniziato a “sistemare” i dischi per allineare il raid, il che ovviamente ha portato a una totale inaccessibilità dei dati dell’utente.
Per recuperare i dati abbiamo dovuto effettuare le operazioni inverse, purtroppo effettuabili solo a mano. Si tratta di individuare cosa è stato spostato e di ricollocare i blocchi di dati tra i dischi ricreando la consistenza e l’ordine originale. La base di lavoro è la copia RAW dei dischi dell’utente. La prima regola di un serio centro di recupero dati e di limitare l’interventi sui dischi originali al minimo possibile.
Determinati i blocchi di dati che il sistema ha spostato, iniziamo il lavoro e, saltando i dettagli tecnici, alla fine si è potuto accedere ai dati e recuperare il 99% dei contenuti!
