服务器数据恢复环境：

某品牌PowerEdge系列服务器，磁盘阵列存储型号为该品牌MD3200系列存储，分配lun；

linux centos 7操作系统，EXT4文件系统。

服务器故障：

服务器在工作中由于未知原因突然关机且无法启动，管理员经过修复后可以启动服务器，但服务器的某个分区无法挂载。管理员对无法挂载的分区执行了fsck修复，修复完成后该分区可以成功挂载，但是查看该分区数据后发现部分文件丢失。

服务器数据恢复过程：

1、数据恢复工程师到达现场后将故障服务器以只读模式映射到北亚企安数据恢复服务器上，将所有硬盘数据以只读方式镜像到数据恢复服务器上，后续数据分析和数据恢复操作都基于镜像文件进行，避免对原始数据造成二次破坏。

2、通过对镜像文件的分析，数据恢复工程师初步诊断导致该服务器故障的原因是机房供电不稳引起的服务器非正常关机。

3、仔细分析故障服务器的底层数据，发现服务器的异常断电导致目录项被破坏，所幸的是底层数据依然存在，只需要数据恢复工程师手工修复即可恢复数据。

4、由于管理员对文件系统执行了fsck修复，被破坏的目录项在修复失败后以目录节点号命名，并存放于lost+found目录内，随后又清除了这些目录项所对应的数据区索引。这就是分区挂载成功后部分文件丢失的原因。这样的情况想要恢复数据，可以根据被删除的虚拟磁盘文件的文件系统和文件类型在vmfs卷自由空间中进行排查，匹配碎片并重新合并，最终通过这种方式将删除的虚拟磁盘文件恢复。

5、由于故障服务器采用的是EXT4文件系统，EXT4文件系统有一个特点就是文件丢失后其节点信息也会被清除，所以在本案例不能采用基于节点信息进行还原的方法来恢复数据，而是根据丢失的文件目录项节点号匹配lost+found目录下的文件名称这种方式来恢复数据。因为lost+found目录下的文件命名规则就是该文件的目录项节点号。可以先提取目录项节点号并与lost+found目录下的文件名进行一一对应，最终还原出服务器的原始目录结构。

6、基于镜像文件分析底层，在底层空间扫描目录项的区域，将目录项的节点号、数量等信息进行统计和记录，根据服务器磁盘中的文件系统信息将统计到的目录项和节点号进行整合匹配，然后匹配lost+found目录下的文件记录号，最终将服务器分区丢失的数据恢复出来。

7、经过管理员对恢复出来的数据进行反复验证后，确认恢复出来的数据完整有效，本次数据恢复工作完成。