Bueno .. la propagación del SID en el URL no es de lo más seguro .. deberías usar propagación del SID en cookies (lo menciona PHP.net en su apartado de sesiones)

Sobre tus problemas ..

a) Si eso te sigue sucediendo.. revisa que valor tiene:
url_rewrite_tags .. o bien fuerzalo a "nada" ""....

Y .. no te olvides de indicar ese "forzado" de configuración en todos tus scripts que usen sesiones y antes de un session_start() o cualquier otra función de sesiones.

b) .. session.gc_max_timelife sólo determina el tiempo que tu SID es válido .. no el tiempo que está físicamente el archivo que PHP crea para la sesión en el servidor. Es más .. ese "gc" significa "garbage colector" o dicho en castellano "el recolector de basura" que viene a ser que .. en ese tiempo, pasa ese archivo a espera que sea "borrado" físicamente dle servidor. Eso sucederá cuando decida: session.gc_probality (o algo así .. lo escribí de memoria) que define el nº de porcentaje de veces que se ha de inciar una sesión (session_start()) para que actue el borrado físico del archivo que esté en modo "gc" (por que lo "expiró" la otra directiva mencionada). A todo esto hay detalles sobre el borrado físico del archivo en S.O.

Puedes ver más info al respecto en:
www.php.net/session

Un saludo,