SCN 不一致的本質、文件頭機制與 event 21307096 的正確使用姿勢

一、問題本質：這不是“恢復失敗”，而是

時間線斷裂

本次問題的表象是：

• ORA-01113 / ORA-01110
• 數據文件頭不一致
• 恢復完成但無法 open
• 最終實例異常終止

但真正的問題并不是“恢復沒做完”，而是：

數據庫各組件的時間線（SCN）已經不在同一個因果鏈上

二、存儲架構是“事故的第一原因”

2.1 實際部署結構

• 控制文件、部分系統相關文件：

  → VMware 虛擬磁盤

• 業務數據文件：

  → 裸金屬盤（直通 / 獨立存儲）

2.2 快照回退發生了什么

VMware 快照只對虛擬磁盤生效：

從 Oracle 的視角看，這是一個邏輯上不可能存在的狀態：

• 控制文件認為：數據庫停在 T-1
• 裸金屬數據文件頭卻聲明：我已經推進到 T

這不是“需要介質恢復”，

而是時間被撕裂了。

三、Oracle 啟動階段做了哪些一致性校驗

理解這一點，是判斷“還能不能救”的關鍵。

3.1 核心校驗對象

Oracle 在 open 階段至少會對以下 SCN 進行交叉驗證：

• 控制文件中的 checkpoint SCN
• 數據文件頭的 checkpoint SCN
• redo / archivelog 能否覆蓋 gap
• SYSTEM / UNDO 等關鍵文件的一致性

3.2 為什么 recover database 會“完成”，但還是 open 失敗

這是很多 DBA 容易誤判的地方。

SQL> recover database
Media recovery complete.

這句話不代表“一切 OK”，它只說明：

從控制文件視角看，

所需 redo 已經 apply 完畢

但問題是：

• redo 是基于 T-1 的控制文件
• 裸金屬數據文件已經在 T 的未來

你在做的不是“補日志”，

而是試圖用過去的時間線去解釋未來的數據狀態。

四、當時可選的兩條“暴力路線”，以及為什么會猶豫

4.1 BBED：直接修改數據文件頭

本質動作：

• 手工修改數據文件頭中的：
  • checkpoint SCN
  • fuzziness 標志
  • 相關校驗字段

理論上可行，但存在兩個致命問題：

1. 文件頭結構高度依賴版本
   • 11g 的經驗不能直接套 19c
   • 字段偏移、校驗方式都有變化
2. 一旦改錯，文件直接“不可解釋”
   • 不是 recover 不了
   • 而是徹底報廢

在生產事故中，BBED 是“最后的最后一條路”。

你當時的猶豫是完全正確的。

4.2 DUL：繞過 Oracle 內核，抽取數據

DUL 的核心思想是：

• 不信任控制文件
• 直接解析數據塊結構
• 把“還能讀懂的東西”撈出來

優點：

• 不依賴 SCN
• 不依賴控制文件一致性

缺點：

• 極度耗時
• 操作復雜
• 本質是“數據級逃生”，不是數據庫級恢復

你走這條路，說明當時判斷是：

內核層可能已經無解，只能保數據

五、真正的 19c 解法：event 21307096 的意義

事后復盤，真正適用于 19c 場景 的方案是：

event = '21307096 trace name context forever, level 3'

5.1 這個 event 在干什么（核心邏輯）

簡化理解：

允許數據庫在 open / recovery 過程中推進 SCN，

接受“文件頭來自未來”的事實

它并不是“修復數據”，而是：

• 放寬對 checkpoint SCN 的強一致校驗
• 讓 recovery 能“追上”數據文件頭
• 給數據庫一個重新建立一致性的機會

這也是為什么它只能在明確事故場景下使用，而不能作為常規手段。

六、完整可復用操作流程（19c）

6.1 確保控制文件可重建（非常關鍵）

SQL> alter database backup controlfile to trace;

定位 trace 文件：

SQL> oradebug setmypid
SQL> oradebug tracefile_name

這一步的意義不是“馬上用”，

而是

確保你始終有退路

6.2 嘗試 open，確認真實阻斷點

SQL> alter database open;

典型報錯：

• ORA-01113
• ORA-01110（SYSTEM01.DBF）

6.3 執行恢復

SQL> recover database;

注意：

這里“complete”并不代表問題解決，只是推進了一步。

6.4 遭遇 MAX_STRING_SIZE 的隱藏前置條件

再次 open：

SQL> alter database open;

觸發：

• ORA-14694
• database must in UPGRADE mode to begin MAX_STRING_SIZE migration

這是一個與事故無關、但會阻斷恢復路徑的配置問題。

6.5 參數修正 + UPGRADE 打開

參數文件中補充：

MAX_STRING_SIZE=EXTENDED

然后：

SQL> alter database open upgrade;

至此，數據庫才能進入可繼續處理狀態。

七、關鍵經驗總結（比操作更重要）

7.1 VMware 快照 ≠ 數據庫一致性點

在以下架構中：

• 虛擬盤 + 裸金屬混用
• 沒有存儲級一致性快照
• 沒有 RMAN 時間點恢復

任何“直接回退快照”的操作，本質都是在賭。

7.2 對 DBA 來說，更重要的是“判斷還能不能救”

• ORA-01113 不是最危險的
• 真正危險的是：
  • 控制文件與數據文件處于不同時間線
  • redo 無法解釋現有數據狀態

7.3 19c 時代，不要盲目復用 11g 的“硬改經驗”

• BBED 仍然存在

• 但 event + 內核容錯路徑 才是更安全的選擇

• DUL 應該是：

  “我已經不相信這個數據庫還能 open 的時候”

八、一句話總結

這次事故的本質不是“恢復失敗”，而是數據庫被強行拉回了一個它從未存在過的時間點
在 19c 中，理解 SCN、文件頭與內核容錯機制，比會用多少工具更重要。