Apple 在 macOS 27 首个测试版发布前,已经向企业和老设备用户释放了两条网络兼容性信号:一是 AFP 文件共享与 Time Capsule 相关支持可能被移除,二是部分 Apple 平台服务连接的服务器可能被强制满足更严格的 TLS 与 ATS 安全要求。

这两项变化目前都不能写成“Apple 已确认 macOS 27 必然执行”。原文和 Apple 支持文档的措辞仍是“未来版本”“最早可能在下一次主要软件发布中”。但对仍在用旧 NAS、Time Capsule,或维护 Apple 设备管理系统的管理员来说,等到 9 月正式版再处理,时间已经偏紧。

AFP 可能退场,最危险的是旧备份链路

AFP 的退出并不突然。Apple 早在 2013 年 OS X 10.9 Mavericks 起,就把 SMB 作为主要文件共享协议;此后多次提示 AFP 会在未来移除。macOS Sequoia 15.5 中相关警告再次出现,只是 Apple 仍未给出最终日期。

受影响最大的不是新款 Mac 用户,而是那些“还能用就不换”的网络存储环境:Apple Time Capsule、老旧 NAS、不支持 SMB3 的文件服务器,以及依赖 AFP 做 Time Machine 网络备份的办公室。

场景macOS 27 若移除 AFP 后的影响现实判断
旧 Time Capsule升级后的 Mac 可能无法继续通过 AFP 使用备份风险最高,设备本身也已停产多年
不支持 SMB3 的老 NAS文件共享或备份链路可能中断需要查固件和协议支持
不升级到 macOS 27 的 Mac现有 AFP 共享和备份可继续使用变化不追溯,不会远程禁用旧系统
新 NAS / SMB3 环境通常影响有限仍建议提前做一次 Time Machine 恢复测试

这里最容易误读的一点是:AFP 若被移除,影响的是升级后的系统,不是 Apple 远程关掉旧 Mac 的 AFP。对只在内网使用老 Intel Mac、且不准备升级到 macOS 27 的用户,短期内未必需要动刀。但如果办公室已经采购 Apple silicon Mac,并计划跟随新系统升级,老存储就会成为卡点。

行业里类似迁移并不少见。Microsoft 多年前也推动弃用 SMB1,理由同样是安全与维护成本。差别在于,SMB1 的风险更直接指向勒索软件传播;AFP 的问题更像 Apple 生态里的历史包袱,平时安静,一到系统升级就变成预算申请。

TLS 收紧只盯特定 Apple 服务,不是所有连接都会变

第二条预警更偏企业。Apple 表示,未来 macOS、iOS、iPadOS 等系统连接某些服务器时,可能要求至少支持 TLS 1.2,建议 TLS 1.3,并使用符合 ATS 要求的加密套件和有效证书。本地 Content Caching 服务器不在这次影响范围内。

范围要说清楚:这不是对所有网络连接一刀切,而主要指向 MDM、DDM、自动设备注册、应用分发与安装、Apple 软件更新等服务器。DNS、LDAP 或普通内网站点是否受影响,不能直接从这份预警外推。

企业管理员麻烦在于,合规与否不是看一眼版本号就能判断。Apple 建议安装 network diagnostics logging profile,再通过 sysdiagnose 收集 logarchive,并筛选 ATS Violation 或 ATS FCPv2.1 violation 相关日志。换句话说,这项检查会落到日志审计、证书链、加密套件和实际连接行为,而不是控制台里点几下完成。

对小公司和学校 IT 来说,真正的成本不一定是换服务器,而是找出谁还在用旧证书、旧反向代理、旧 MDM 组件。很多 Apple 设备管理系统外观看起来正常,底层却可能挂着多年未改的 TLS 配置。

从 6 月测试版到 9 月正式版,准备窗口只有一个夏天

按原文给出的节奏,macOS 27.0 开发者测试版预计在 2026 年 6 月 8 日发布,公开测试版约在 7 月 8 日前后,正式版大概率在 9 月中旬到来。企业和重度家庭用户实际可用的验证窗口,大约就是三个月。

更现实的做法是分两条线排查。家庭和小团队先查 NAS 是否支持 SMB3,确认 Time Machine 是否能在 SMB 共享上完成备份与恢复;企业 IT 则应在测试 Mac 上接入现有 MDM、应用分发、自动注册和软件更新链路,抓日志看是否触发 ATS 违规。

接下来最该观察两个变量:Apple 是否在 WWDC 后的 macOS 27 beta 中正式移除 AFP;以及 TLS 新规是否因企业反馈被推迟。前者决定旧存储还能拖多久,后者决定企业服务器改造是暑期项目,还是获得一个缓冲周期。