レジストリ復旧。 - GunGunMeteoの備忘録

　職場で「\WINDOWS\SYSTEM32\CONFIG\SYSTEMが見つかりません」とメッセージを表示してWindowsが起動しない端末があるとの連絡。
　どうしてこんなに簡単にレジストリが死に、また復旧方法も面倒にしてあるのか。状況はWindows7になっても同じはずだが…。
　まずはHDDの不良セクタがないか調べるためHDD Regeneratorを実行。全セクタ問題なし。
　ならばファイルは読めるはず、と別PCへUSB-SATAアダプタIS250SUを介して当該HDDをWindowsXP正常稼働機へぶら下げた。
　しかしHDDは認識されるもののストレージとしては「フォーマットしますか？」と聞かれ認識されていない。「ディスクの管理」では未フォーマットの巨大なディスクが見えるだけだ。
　こういうパターンでは、去年から始めた故障時の対応基準に照らせばリカバリもしくはメーカー修理送りなのだが…経験上HDDの物理破壊ではないことは間違いなさそうだし、FATの復元でどうにかできそうだ、というかリカバリされたPCへ業務アプリケーションの再インストールを際限なく繰り返す手間を考えるととてもメーカー修理をする気にはならなかった。
　手元で使えるツールを探していると、机の引き出しからホコリまみれになった私物のファイナルデータ8.0特別復元版の媒体が出てきた。自宅で探したのに見つからず真剣に最新版を買い直そうかと思っていたくらいだが、こんなところにあったとは。そっと記録面を水洗いすると、傷はまだついていない様子である。
　故障機へHDDを戻してファイナルデータからCD Bootし復元メニューを見てみると…なぜかパーティションが見えるではないか。
　一応クラスタスキャンができるかどうかまで試行したが大丈夫そうだったので、再びHDDを取出し、別稼働機へUSBアダプタでぶら下げ直す。こちらはやはりパーティションが見えなくなっている。
　状況を整理すると、当該HDDではレジストリ実体ファイルの最新版が破損したか消失し起動できなくなっているが、別PCでパーティションが見えない現象については障害とは直接関係せず、復旧用環境との接続インタフェースの障害だろう。
　障害HDDをUSBマスストレージクラスで接続した場合の不安定さというのを思い知らされる。稼働機へUSBを介さずSATAインタフェースで直結できればおそらく間違いなく読めるのだが…あいにく手元にはHDDベイが１つのノートPCしかない。こんな時、光学ドライブベイへのHDDマウントアダプタがあればと思うが、めったに使わないので備品に用意がない。別室にはSATA・PATA両用のデスクトップPCがあるのだが、情報漏えい防止のため接続できるストレージに制限を付けてしまったばかりである。
SATA 光学ドライブ用HDDマウンタをAmazonで注文。たった数千円の、しかも明日にも必要な機材を何日もかけて伝票を回覧して購入手続きするのも面倒なので自腹を切った。最初から準備しておけばこうはならないのに。
　しかし来週までに復旧しなければユーザの仕事が止まるので、できれば今日の間にどうにかしたい。いろいろ迷った挙句、ストレージ接続を禁止していたデスクトップPCをネットワークから切り離し、そこへ障害HDDを接続してスタンドアロンでウイルス検索を実施し問題が見つからなければ復旧作業に用いることにした。自分で決めた規則ですらグダグダにしている。
　その結果、やはりSATA直結であればパーティションが正常に読めることが確認できた。
　ここからはいつものとおり、障害HDD上のWindowsでシステムの復元が取得しているはずの\System Volume Information内復元ポイントの過去のレジストリを本来の位置にコピーして復旧を図る。
　障害HDD上の\System Volume Informarionディレクトリの権限でデフォルトのSystemにAdministratorsを追加し全ての操作区分を有効に変更、内部の参照・変更を作業用PCでも可能にする。
　同\Windows\System32\config内の"system"、"software"、"sam"、"security"、"default"各ファイルを別名にして退避。
　障害HDD上の\System Volume Informarionディレクトリ内に複数あるはずの"_restore {GUID} "ディレクトリのうち、日付が新しくかつ障害発生日より前の日付のディレクトリの中にある"system"、"software"、"sam"、"security"、"default"をコピーし、同\Windows\System32\configへ上書き投入。
　障害HDD上の\System Volume Informarionディレクトリの権限から先ほど追加したAdministratorsを削除。
　作業用PCをシャットダウン、障害HDDを取り外して元環境へ接続、起動。
　…こうして書くと簡単に思えて仕方ないが、パーティション消失の原因がUSB-SATAアダプタにあることを確認するまでに2日間、実働15時間近く費やしている。HDD Regeneratorやファイナルデータでのスキャンは非常に時間がかかる上、通常業務もあるのでとても落ち着いて作業できないのだ。
　結果として障害発生前と寸分たがわぬ状態でユーザへ返却できたのだが…通常業務の足を引っ張りながらではとても割に合う仕事ではない。
　やはり復旧作業は外注に一本化した方がいい。