No me refiero a que no uses las cookies, sino a que no uses el objeto Session de forma indiscriminada Se puede usar (de hecho yo lo uso) para pasar datos entre una página a otra de forma circunstancial (por ejemplo: Session("errores") = "Problemas para conectar con la base de datos" para control de errores o para llevar un array de una pagina a otra) pero no para controlar a un usuario (se puede "perder" su id de sesion). Yo uso cookies pero que no dependen del servidor: Yo les digo cuanto tiempo tienen de vida y cuando eliminarlos.

El problema esta en si el navegador del cliente acepta cookies, pero ese problema tambien lo tienes con las sesiones. La diferencia entre una cookie y una sesion es que la sesion es una "galletita" que identifica a un sitio web y apunta a un proceso en el servidor y una cookie a secas es una "galletita" que solo identifica un sitio web.

No se si he sido suficientemente claro pero te aseguro que me he dado los suficientes batacazos con el objeto session en ASP como para rehuir de ellos. PHP gestiona mil veces mejor sus sesiones y no te digo nada ASP.NET

Un saludo