Tym razem na odzyskanie danych trafiło do nas 48 dysków SSD Kingston z dwóch macierzy RAID 6 pracujących redundantnie w jednostkach rozszerzających Synology RX2417SAS podłączonych oryginalnie do serwera NAS Synology RS18017XS.

Zlecenie przyjechało do naszego laboratorium z Poznania po awarii, która wg opisu wyglądała następująco:

W niedzielę DSM zgłosił, że nie ma połączenia z serwerem pasywnym. Po zresetowaniu urządzenia wyskoczył komunikaty o błędach dysków na jednostce rozszerzeń (wszystkie diody świeciły na
zielono).

Po kolejnym restarcie i przełączeniu jednostki rozszerzeń całość działała bez aktywnego High Aavailability do poniedziałku. W poniedziałek wieczorem informatyk włączył wszystko - po uruchomieniu, cała konfiguracja wolumenów od z jednostki rozszerzającej Synology RX2417sas zniknęła. Obie jednostki rozszerzając przyjęły ID 1, przy czym jedna powinna posiadać 0, a druga 1.

Informatyk próbował restartować i przełączać kable połączeniowe pomiędzy serwerem NAS Synology RS18017xs+ a RX2417, bez powodzenia. Z poziomu DSM dyski SSD od RX2417sas były widoczne jako nie zainicjowane, High Aavailability na RS18017xs+ obecnie działa prawidłowo.

Jednostki główne zaczęły działać prawidłowo, ale mimo prób nie udało się uzyskać dostępu do danych na jednostkach rozszerzających. Support Synology, odpowiadał na zgłoszenie klienta z opóźnieniem więc dysku trafiły do naszego Centrum Odzyskiwania Danych w Warszawie na analizę możliwości przywrócenia plików.

Z opisu klienta bardzo niepokojącym objawem było to, że dyski SSD miały stan nie zainicjowany. Obawialiśmy się, że mogło je przy pomocy TRIM po prostu wyzerować i wtedy nie dałoby się niestety nic zrobić.

Zaraz po otrzymaniu dysków sprawdziliśmy więc w HEX czy dyski mają jakąś zawartość. Na szczęście miały. Kolejnym etapem było porobienie kopii po sektorowych dysków i sprawdzenie w jakim są stanie. Dzięki dużej ilości stanowisk byliśmy w stanie wykonać kopie wszystkich dysków w ciągu zaledwie 30 godzin. Trwało by to krócej ale część dysków miała bardzo wolne czasy odczytu, a do rekonstrukcji macierzy RAID 6 woleliśmy, na wszelki wypadek, wykonać obrazy wszystkich dysków. Na szczęści się to udało.

Po wykonaniu kopii dysków mogliśmy przystąpić do analizy i wyceny kosztów odzyskania danych. Po jej akceptacji przystąpiliśmy do wirtualnej rekonstrukcji.
Jak się okazało metadane macierzy RAID 6 były niestety częściowo uszkodzone więc musieliśmy ręcznie znaleźć rozmiary bloków, rodzaj i kierunek sum kontrolnych oraz sprawdzić synchronizację bloków. Na szczęście klient dokładnie ponumerował dyski i kolejność się zgadzała więc w tym miejscu oszczędziliśmy trochę czasu.

Po uzyskaniu struktury plików i katalogów okazało się, że na macierzy RAID były dwa woluminy.
Jeden nieco ponad 14 TB i drugi około 20 TB. Sprawdziliśmy spójność plików i po drobnych korektach ustawień wykopiowaliśmy dane klienta na nasz serwer.

Jako, że dostarczone do nas dane były poufne, na wszelki wypadek przechowywaliśmy je na szyfrowanych woluminach, a po odebraniu przez klienta zostały bezpowrotnie skasowane. Do przechowywania tak dużej ilości danych sami musieliśmy skonstruować macierz RAID i przygotować specjalnie do tego celu oddzielny serwer.

Jak pokazuje ten przykład, nawet drogie rozwiązania potrafią ulec awarii i można utracić dostęp do danych. Warto o tym pamiętać i robić zewnętrzny odpięty od systemu backup danych. Jest to bardzo ważne szczególnie jeśli używamy dysków SSD oraz w obliczu częstych ataków typu Ransomware, które szyfrują dane użytkowników. W tym przypadku wszystko zakończyło się pomyślnie i dane zostały odzyskane, ale nie zawsze tak jest.