Recupero dati da un NAS con i dischi spostati in slot errati

Un NAS configurato in RAID 10 è composto da due RAID 0 che poi sono in mirror tra loro (RAID 1). Questa configurazione ci porta ad avere 4 HDD che sono uguali a coppie. Il fallimento di un RAID 0 come quello in esame non è fatale e può avvenire a causa del guasto di uno o di entrambi i dischi. L’eventuale errore di uno dei due dischi che compongono il secondo RAID 0 porterebbe però ad un fallimento del sistema e alla conseguente inaccessibilità dei dati.

Può succedere a volte che l’utente si accorga che sta per accadere un guasto da alcuni segnali: lentezza della lettura o congelamento dell’unità NAS che con un riavvio sembra a risolversi. Il consiglio di base in presenza di un NAS / RAID che sta per fallire e quello di spegnere l’unita e di non fare alcuna forzatura per accedere ai dati.

Il racconto che proponiamo oggi illustra questo scenario e illustra una serie di azioni errate da parte dell’utente che hanno portato ad una seria corruzione del raid e a una perdita di dati. Il NAS (DAS) PRORAID era composto da 4 DISCHI da 3 TB l’uno in RAID 10 ed era collegato direttamente ad un sistema MAC, veniva usato principalmente come disco esterno. L’utente un giorno si accorge del problema a un disco, che con una luce rossa segnala lo stato di errore. Il singolo disco viene estratto ma non si procede subito con la sua sostituzione e capita che per un ulteriore guasto ad un altro disco, i dati iniziano ad essere disponibili a tratti. I tentativi di lettura dei dati che dopo brevi intervalli si interrompono.

A questo punto il cliente preso dal panico inizia a tentare l’accesso in tutti i modi. Spegnimento e accensione del NAS, estrazione dei dischi e reinserimento a momenti sembrano dare risultati, ma ad un tratto la situazione cambia e il volume dati scompare del tutto. Solo a questo punto l'utente si rende conto della gravità della situazione ed inizia a capire che 5 TB di dati all’interno potrebbero essere andati persi per sempre. Una situazione inaccettabile!

Finalmente l’utente fa la cosa giusta e ci contatta. Il NAS arriva nelle nostre mani e presto individuiamo e risolviamo i problemi dei dischi guasti. Procediamo con ulteriori verifiche sui singoli dischi, con le copie RAW e con l'individuazione dei parametri del RAID 0 (stranamente le dimensioni dello stripe sono di un solo settore contro lo standard di 128 settori, molto strano!).

E’ a questo punto che si presenta un rompicapo: secondo le leggi del RAID 10 disponiamo di componenti che sono sufficienti per il funzionamento e per la ricostruzione dei dati, pero non si riscontra la struttura descritta dall'utente e i dati trovati sono pochissimi. Evidentemente l’utente è riuscito a combinare un danno ben più grave di quello in origine. Non rimane altro da fare che iniziare le verifiche con l’editor esadecimale confrontando tutti e quattro i dischi nello stesso momento, sperando di scoprire il problema. Chi ha già fatto questi tentativi sa benissimo quanto sia difficile e lento il lavoro con i dati grezzi. Alla fine si nota una stranezza: inizialmente i dischi specchiati erano l'1 e il 2, mentre in zone più avanti sono l'1 e il 3. Ci mettiamo in cerca del preciso punto di rottura sfogliando i dati esadecimali a mano per diverse ore.

FIG 1: il disco numerato 5 evidentemente è senza i dati, i dischi 2 e 1 sono identici. Evidentemente il raid 0 da ricreare sarebbe tra il disco 3 e il disco 1-2

FIG 2: Situazione ribaltata: dischi 2 e 3 sono identici. Evidentemente il raid 0 adesso e da ricreare tra il disco 1 e il disco 3-2 (HD 5 non è utilizzabile).

 

Come è possibile? Come si è arrivati in questa strana situazione? Ci sono ancora margini di recupero di dati?

Ecco cosa è successo: in un certo momento, l’utente ha estratto i dischi dall’unità e successivamente li ha rimessi dentro scambiandoli di posizione in modo che i dischi appartenenti a diversi Raid 0 sono stati mischiati. Un caso assai pericoloso. Infatti il sistema ha iniziato a specchiare i dati su Raid invertiti, arrivando fino ad un certo settore, quando l’utente ha spento l’unità NAS. Il software del NAS successivamente ha iniziato a "sistemare" i dischi per allineare il raid, il che ovviamente ha portato a una totale inaccessibilità dei dati dell'utente.

Per recuperare i dati abbiamo dovuto effettuare le operazioni inverse, purtroppo effettuabili solo a mano. Si tratta di individuare cosa è stato spostato e di ricollocare i blocchi di dati tra i dischi ricreando la consistenza e l'ordine originale. La base di lavoro è la copia RAW dei dischi dell'utente. La prima regola di un serio centro di recupero dati e di limitare l'interventi sui dischi originali al minimo possibile.

Determinati i blocchi di dati che il sistema ha spostato, iniziamo il lavoro e, saltando i dettagli tecnici, alla fine si è potuto accedere ai dati e recuperare il 99% dei contenuti!